jsessionid问题解决方案

2024-06-03 12:08
文章标签 解决方案 问题 jsessionid

本文主要是介绍jsessionid问题解决方案,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

bigdatafish 2016-11-24 17:31

jsessionid问题解决方案

jessionid会话盗用漏洞,现在是两种方案:

1. 方案一:用户IP和用户会话绑定,目前F5代理后获取不到真实机器的IP ,

2.方案二:判断jessionid来源,如果来源URL,就做403界面重定下,拒绝访问,目前方案一获取不到IP地址,只能用方案测试。

代码如下:

package com.tydic.dbp.util;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

public class AuthFilter implements Filter {

private static final Logger LOGGER = LoggerFactory

.getLogger(AuthFilter.class);

public void destroy() {

}

public void doFilter(ServletRequest servletRequest,

ServletResponse servletResponse, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest) servletRequest;

HttpServletResponse response = (HttpServletResponse) servletResponse;

String uri = request.getRequestURI();

String url = request.getRequestURL().toString();

HttpSession session = request.getSession();

String ip = IpUtils.getIpAddr(request);

Object user = session.getAttribute("tydic.dbp.user");

Object sessionIP = session.getAttribute("ip");

// SSO 放行资源是获取不到SESSION信息的,注意

String[] six = { ".swf", ".js", ".css", ".gif", ".png", ".jpg",

"/service", "dbp.jsp" };

for (String key : six) {

if (uri.indexOf(key) > -1) {

chain.doFilter(servletRequest, servletResponse);

return;

}

}

// System.out.println("************uri" + uri);

// System.out.println("************url: " + url);

// System.out.println("************user" + user);

if (request.isRequestedSessionIdFromURL()) {

response.sendRedirect("http://134.64.106.187:8000/portal/webpoint/main/403.jsp");

return;

/*if (session != null) {

session.invalidate();

}*/

}

LOGGER.info("************sessionIp: " + sessionIP);

LOGGER.info("************clinetIp: " + ip);

if ((user == null) || (sessionIP == null) || (!(ip.equals(sessionIP)))) {

LOGGER.info(" ***************** error sendRedirect ");

response.sendRedirect("http://154.64.116.187:8000/portal/webpoint/main/403.jsp");

return;

} else {

chain.doFilter(servletRequest, servletResponse);

return ;

}

}

public void init(FilterConfig filterConfig) throws ServletException {

}

这篇关于jsessionid问题解决方案的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/1026946

相关文章

springboot3.4和mybatis plus的版本问题的解决

springboot3.4和mybatis plus的版本问题的解决

《springboot3.4和mybatisplus的版本问题的解决》本文主要介绍了springboot3.4和mybatisplus的版本问题的解决,主要由于SpringBoot3.4与MyBat... 报错1:spring-boot-starter/3.4.0/spring-boot-starter-
阅读更多...
在 Spring Boot 中使用异步线程时的 HttpServletRequest 复用问题记录

在 Spring Boot 中使用异步线程时的 HttpServletRequest 复用问题记录

《在SpringBoot中使用异步线程时的HttpServletRequest复用问题记录》文章讨论了在SpringBoot中使用异步线程时,由于HttpServletRequest复用导致... 目录一、问题描述:异步线程操作导致请求复用时 Cookie 解析失败1. 场景背景2. 问题根源二、问题详细分
阅读更多...
解读为什么@Autowired在属性上被警告,在setter方法上不被警告问题

解读为什么@Autowired在属性上被警告,在setter方法上不被警告问题

《解读为什么@Autowired在属性上被警告,在setter方法上不被警告问题》在Spring开发中,@Autowired注解常用于实现依赖注入,它可以应用于类的属性、构造器或setter方法上,然... 目录1. 为什么 @Autowired 在属性上被警告?1.1 隐式依赖注入1.2 IDE 的警告:
阅读更多...
解决java.lang.NullPointerException问题(空指针异常)

解决java.lang.NullPointerException问题(空指针异常)

《解决java.lang.NullPointerException问题(空指针异常)》本文详细介绍了Java中的NullPointerException异常及其常见原因,包括对象引用为null、数组元... 目录Java.lang.NullPointerException(空指针异常)NullPointer
阅读更多...
Android开发中gradle下载缓慢的问题级解决方法

Android开发中gradle下载缓慢的问题级解决方法

《Android开发中gradle下载缓慢的问题级解决方法》本文介绍了解决Android开发中Gradle下载缓慢问题的几种方法,本文给大家介绍的非常详细,感兴趣的朋友跟随小编一起看看吧... 目录一、网络环境优化二、Gradle版本与配置优化三、其他优化措施针对android开发中Gradle下载缓慢的问
阅读更多...
关于Nginx跨域问题及解决方案(CORS)

关于Nginx跨域问题及解决方案(CORS)

《关于Nginx跨域问题及解决方案(CORS)》文章主要介绍了跨域资源共享(CORS)机制及其在现代Web开发中的重要性,通过Nginx,可以简单地解决跨域问题,适合新手学习和应用,文章详细讲解了CO... 目录一、概述二、什么是 CORS?三、常见的跨域场景四、Nginx 如何解决 CORS 问题?五、基
阅读更多...
MySQL安装时initializing database失败的问题解决

MySQL安装时initializing database失败的问题解决

《MySQL安装时initializingdatabase失败的问题解决》本文主要介绍了MySQL安装时initializingdatabase失败的问题解决,文中通过图文介绍的非常详细,对大家的学... 目录问题页面:解决方法:问题页面:解决方法:1.勾选红框中的选项:2.将下图红框中全部改为英
阅读更多...
Nginx启动失败:端口80被占用问题的解决方案

Nginx启动失败:端口80被占用问题的解决方案

《Nginx启动失败:端口80被占用问题的解决方案》在Linux服务器上部署Nginx时,可能会遇到Nginx启动失败的情况,尤其是错误提示bind()to0.0.0.0:80failed,这种问题通... 目录引言问题描述问题分析解决方案1. 检查占用端口 80 的进程使用 netstat 命令使用 ss
阅读更多...
部署Vue项目到服务器后404错误的原因及解决方案

部署Vue项目到服务器后404错误的原因及解决方案

《部署Vue项目到服务器后404错误的原因及解决方案》文章介绍了Vue项目部署步骤以及404错误的解决方案,部署步骤包括构建项目、上传文件、配置Web服务器、重启Nginx和访问域名,404错误通常是... 目录一、vue项目部署步骤二、404错误原因及解决方案错误场景原因分析解决方案一、Vue项目部署步骤
阅读更多...
mybatis和mybatis-plus设置值为null不起作用问题及解决

mybatis和mybatis-plus设置值为null不起作用问题及解决

《mybatis和mybatis-plus设置值为null不起作用问题及解决》Mybatis-Plus的FieldStrategy主要用于控制新增、更新和查询时对空值的处理策略,通过配置不同的策略类型... 目录MyBATis-plusFieldStrategy作用FieldStrategy类型每种策略的作
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2