你能指定多个cookie路径吗?

【问题标题】:Can you specify multiple cookie paths?你能指定多个cookie路径吗?
【发布时间】:2018-05-21 19:48:02
【问题描述】:

我正在 PeopleSoft 中进行开发,您通过诸如 https://mywebserver.com/psp/ps/EMPLOYEE/CRM/?cmd=login 之类的 URL 访问 PIA 门户。但是,在某些集成点,它将通过非门户 URL https://mywebserver.com/psc/ps/EMPLOYEE/CRM/?cmd=login。请注意两者都处于根级别。

如果我设置 cookie-path=/psp,那么通过 /psc 的 URL 将无法正常工作,反之亦然。

对于干净的 PEN 测试,是否可以设置 Weblogic 以允许 cookie 路径有多个值?我正在尝试在 weblogic.xml 中实现类似的功能:

<session-descriptor>
  <cookie-path>/psc;/psp</cookie-path>
</session-descriptor>

【问题讨论】:

  • 根据文档,cookie-path 属性只支持单一路径。反对只使用“/”的理由是什么?
  • PEN 测试报告将 / 的路径标记为安全风险。

标签: weblogic peoplesoft cookie-path


【解决方案1】:

我认为你不能开箱即用。

解决此问题的最佳方法是直接在 servlet 中编写 set-cookie 指令。

一个可行的技巧:假设您将 PeopleSoft 的 cookie 路径设置为“/psp”,并且用户通过 /psc 路径访问域 WebLogic 应该返回带有 /psp 路径的错误“set-cookie”。您可以在您的网络服务器中捕获它并将标头重写为 /psc。在 Apache 中,这类似于 /psc 上下文中的“Header edit Set-Cookie ^(.*)/psp(.*)$ $1/psc$2”。

【讨论】:

  • 这是一个有趣的方法,不过需要一些回归工作。我很感激这个小费!
猜你喜欢
  • 2021-10-26
  • 1970-01-01
  • 2014-08-27
  • 2014-01-11
  • 1970-01-01
  • 1970-01-01
  • 2013-06-10
  • 2012-05-26
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode