【发布时间】:2011-08-01 12:59:39
【问题描述】:
我们有以下情况:
转到 http://website/ 并单击指向 http://website/appX 的链接
检查 cookie 显示的 JSessionID 是否为 secure = NO。打开另一个浏览器窗口或选项卡,然后转到 https://website/,然后单击指向 https://website/appY 的链接。 检查 cookie 显示的 JSessionID 是否为 secure = YES。
尝试与步骤 1 中创建的窗口/选项卡进行交互。我的会话已过期...
如果我们重复这些步骤,但在步骤 2 中使用 https://website/appX 而不是 https://website/appY,那么 JSessionID cookie 将保留为 Secure =没有。
所有 cookie 都有 JSessionId,最后附加了 jvmRoute。
--
我们正在使用:
Apache (2.2.3-43.el5_5.3) + mod_jk(带粘性会话)和负载平衡器配置到多个 JBoss 实例 (v 4.3.0)。
我只找到了一个完全相同问题的链接(通常其他的都使用 PHP): http://threebit.net/mail-archive/tomcat-users/msg17687.html
问:如何防止 JSessionId cookie 被重写?
【问题讨论】:
标签: java cookies jboss load-balancing jsessionid