3
Tomcat(6.x)のどのクラスがセッションIDをクッキーに入れるか、リクエストに追加するかを知る必要があります。 これは、すべてのフィルタが通過した後に行われますか?Apache Tomcat(6.x)SessionIDの配置
私は、セッションIDがTomcatのセッション・マネージャによって設定されている
A
答えて
5
...レスポンスがブラウザに送信される前に、セッションIDを変更する必要がある - 異なる実装がいくつかあります。アプリケーションの実行中にセッションIDを変更すると、セッションマネージャによって行われた前提条件の一部が破損する可能性があります。
IDを変更するには、独自のセッションマネージャを実装する必要があります。これを行う「標準的な」方法は、ManagerBaseを拡張することです。 StandardManagerを拡張し、generateSessionId()を上書きすることもできます。 Tomcatは、カスタムセッションマネージャを使用して取得するには、
は、独自のセッションIDを生成するときに非常に慎重にてserver.xmlのContextとManagerの構成を見てみましょう。サーバーがクッキー内のIDが有効かどうかを知ることはできません。攻撃者があなたのIDシークエンスを推測できる場合、彼はHTTPクライアントにクッキー値を設定するだけで他のユーザーのセッションを盗むことができます。
関連する問題
- 1. Apache Tomcat 6の問題
- 2. Tomcat 6.xの管理
- 3. tomcat 6 webappの配備
- 4. Tomcat 6.xドライバ問題のクラスパス
- 5. Apache Solr 6.x with JBoss AS 4.0
- 6. Tomcat 6 Eclipse Galileo
- 7. Tomcat 6のインストール
- 8. は私がApache Tomcatの6を持っている証明書
- 9. spring security - sessionid urlでtomcat 7を書き直す
- 10. Tomcat 6 disable JSESSIONID
- 11. CORS on Tomcat 6
- 12. Tomcat 6 with Java 8 JSPコンパイルエラー
- 13. tomcat 6の問題
- 14. Apache Tomcat 6にwarをデプロイできません
- 15. Windows 7プラットフォームでApache Tomcat Server 6を起動できません
- 16. Tomcat APRベースのApache Tomcatネイティブライブラリエラー
- 17. Apache Tomcatのエラーページ
- 18. Apache Tomcatのサイレントインストール
- 19. Apache Tomcatのデプロイ
- 20. Apache Tomcatのインストール
- 21. X = 5,6のx == 6印刷6は、他のない6
- 22. Tomcat 6とDNSルックアップ
- 23. サーブレットjarファイルはTomcat 6にどこに置くのですか?
- 24. c3p0接続プールのメモリリーク再配置tomcat
- 25. Apache TomcatサーバーローカルホストURL
- 26. Apache Tomcat Catalina Logs
- 27. java.lang.NoClassDefFoundError ResponseHanlder apache tomcat
- 28. Apache Tomcatとサーブレット
- 29. Grails + Netbeans + Apache Tomcat
- 30. Apache usergrid tomcatエラー