【发布时间】:2012-09-28 08:23:10
【问题描述】:
当用户点击Portal(可能是Liferay、Jboss Portal..)的登录页面时,JSESSIONID cookie由container创建。在登录页面中输入凭据后,相同的JSESSIONID 会被继承。
在这里,最终用户将在获得身份验证之前知道JSESSIONID(通过在登录页面中检查JSESSIONID)。这将增加网站被黑客入侵的脆弱性,因为在获得身份验证之前就可以知道JSESSIONID。
此post 建议在身份验证后使用不同的JSESSIONID。
那么,创建一个新的 JSESSIOND 可以通过使用Portal 服务器来实现(我正在使用Liferay CE 6.0),还是必须由 Web 应用程序开发人员处理?如果必须由 Web 应用程序开发人员处理,最好的方法是什么? request.getSession(true) 是唯一的选择??如果我需要在身份验证后指示Liferay 创建一个新的JSESSIONID 怎么办?
【问题讨论】:
标签: security liferay-6 jsessionid