1. ホーム
  2. 質問と答え
  3. URLにjsessionidを実行していないJBoss 7.0.1が動作していません

URLにjsessionidを実行していないJBoss 7.0.1が動作していません

2012-03-14 13 views
10

セキュリティ上の理由から、私はURLにjsessionidというセッショントラッキングを無効にしてしまいました。私のweb.xmlを下のものに変更する前に、最初のリンクをクリックした後、URLにjsessionidというページを初めて訪れました。URLにjsessionidを実行していないJBoss 7.0.1が動作していません

web.xmlは、私はそれが消えることはありませんページ上の別のリンクをクリックすると、今私は、URLでjsessionidを持って

<session-config> 
     <session-timeout>10</session-timeout> 
     <cookie-config> 
     <secure>true</secure> 
     </cookie-config> 
     <tracking-mode>COOKIE</tracking-mode> 
    </session-config>

のように見えます。クリックごとに変化します。

JSFアクションを呼び出そうとすると、javax.faces.application.ViewExpiredExceptionが返されますが、マネージドBeanは@SessionScopedになります。

これは私の依存関係ツリーです:

[INFO] Scanning for projects... 
[INFO] Searching repository for plugin with prefix: 'dependency'. 
[INFO] ------------------------------------------------------------------------ 
[INFO] Building Java EE 6 webapp project 
[INFO] task-segment: [dependency:tree] 
[INFO] ------------------------------------------------------------------------ 
[INFO] [dependency:tree {execution: default-cli}] 
[INFO] de.project:demoapp:war:1.0-SNAPSHOT 
[INFO] +- javax.enterprise:cdi-api:jar:1.0-SP4:provided 
[INFO] | +- org.jboss.spec.javax.interceptor:jboss-interceptors-api_1.1_spec:jar:1.0.0.Final:provided (version managed from 1.0.0.Beta1) 
[INFO] | \- javax.inject:javax.inject:jar:1:provided 
[INFO] +- org.jboss.spec.javax.annotation:jboss-annotations-api_1.1_spec:jar:1.0.0.Final:provided 
[INFO] +- org.jboss.spec.javax.ws.rs:jboss-jaxrs-api_1.1_spec:jar:1.0.0.Final:provided 
[INFO] +- org.hibernate.javax.persistence:hibernate-jpa-2.0-api:jar:1.0.1.Final:provided 
[INFO] +- org.jboss.spec.javax.ejb:jboss-ejb-api_3.1_spec:jar:1.0.1.Final:provided 
[INFO] +- org.hibernate:hibernate-validator:jar:4.2.0.Final:provided 
[INFO] | \- javax.validation:validation-api:jar:1.0.0.GA:provided 
[INFO] +- org.hibernate:hibernate-jpamodelgen:jar:1.1.1.Final:provided 
[INFO] +- junit:junit:jar:4.10:test 
[INFO] | \- org.hamcrest:hamcrest-core:jar:1.1:test 
[INFO] +- org.jboss.arquillian.junit:arquillian-junit-container:jar:1.0.0.CR4:test 
[INFO] | +- org.jboss.arquillian.junit:arquillian-junit-core:jar:1.0.0.CR4:test 
[INFO] | +- org.jboss.arquillian.test:arquillian-test-api:jar:1.0.0.CR4:test 
[INFO] | | \- org.jboss.arquillian.core:arquillian-core-api:jar:1.0.0.CR4:test 
[INFO] | +- org.jboss.arquillian.test:arquillian-test-spi:jar:1.0.0.CR4:test 
[INFO] | | +- org.jboss.arquillian.core:arquillian-core-spi:jar:1.0.0.CR4:test 
[INFO] | | \- org.jboss.shrinkwrap:shrinkwrap-api:jar:1.0.0-beta-5:test 
[INFO] | +- org.jboss.arquillian.container:arquillian-container-test-api:jar:1.0.0.CR4:test 
[INFO] | +- org.jboss.arquillian.container:arquillian-container-test-spi:jar:1.0.0.CR4:test 
[INFO] | +- org.jboss.arquillian.core:arquillian-core-impl-base:jar:1.0.0.CR4:test 
[INFO] | +- org.jboss.arquillian.test:arquillian-test-impl-base:jar:1.0.0.CR4:test 
[INFO] | +- org.jboss.arquillian.container:arquillian-container-impl-base:jar:1.0.0.CR4:test 
[INFO] | | +- org.jboss.arquillian.config:arquillian-config-api:jar:1.0.0.CR4:test 
[INFO] | | \- org.jboss.arquillian.config:arquillian-config-impl-base:jar:1.0.0.CR4:test 
[INFO] | |  \- org.jboss.shrinkwrap.descriptors:shrinkwrap-descriptors-spi:jar:1.1.0-alpha-2:test 
[INFO] | +- org.jboss.arquillian.container:arquillian-container-test-impl-base:jar:1.0.0.CR4:test 
[INFO] | \- org.jboss.shrinkwrap:shrinkwrap-impl-base:jar:1.0.0-beta-5:test 
[INFO] |  \- org.jboss.shrinkwrap:shrinkwrap-spi:jar:1.0.0-beta-5:test 
[INFO] +- org.jboss.arquillian.protocol:arquillian-protocol-servlet:jar:1.0.0.CR4:test 
[INFO] | \- org.jboss.arquillian.container:arquillian-container-spi:jar:1.0.0.CR4:test 
[INFO] |  \- org.jboss.shrinkwrap.descriptors:shrinkwrap-descriptors-api:jar:1.1.0-alpha-2:test 
[INFO] +- javax.mail:mail:jar:1.4.4:compile 
[INFO] | \- javax.activation:activation:jar:1.1:compile 
[INFO] +- javax.servlet:javax.servlet-api:jar:3.0.1:provided 
[INFO] +- org.owasp.esapi:esapi:jar:2.0.1:compile 
[INFO] | +- commons-configuration:commons-configuration:jar:1.5:compile 
[INFO] | | +- commons-lang:commons-lang:jar:2.3:compile 
[INFO] | | +- commons-logging:commons-logging:jar:1.1:compile 
[INFO] | | | +- logkit:logkit:jar:1.0.1:compile 
[INFO] | | | \- avalon-framework:avalon-framework:jar:4.1.3:compile 
[INFO] | | \- commons-digester:commons-digester:jar:1.8:compile 
[INFO] | |  \- commons-beanutils:commons-beanutils:jar:1.7.0:compile 
[INFO] | +- commons-beanutils:commons-beanutils-core:jar:1.7.0:compile 
[INFO] | +- commons-fileupload:commons-fileupload:jar:1.2:compile 
[INFO] | +- commons-collections:commons-collections:jar:3.2:compile 
[INFO] | +- xom:xom:jar:1.1:compile 
[INFO] | | +- xerces:xmlParserAPIs:jar:2.6.2:compile 
[INFO] | | +- xerces:xercesImpl:jar:2.6.2:compile 
[INFO] | | +- xalan:xalan:jar:2.7.0:compile 
[INFO] | | | \- xml-apis:xml-apis:jar:1.0.b2:compile 
[INFO] | | \- jaxen:jaxen:jar:1.1-beta-8:compile 
[INFO] | |  +- dom4j:dom4j:jar:1.6.1:compile 
[INFO] | |  \- jdom:jdom:jar:1.0:compile 
[INFO] | +- org.beanshell:bsh-core:jar:2.0b4:compile 
[INFO] | \- org.owasp.antisamy:antisamy:jar:1.4.3:compile 
[INFO] |  +- org.apache.xmlgraphics:batik-css:jar:1.7:compile 
[INFO] |  | +- org.apache.xmlgraphics:batik-ext:jar:1.7:compile 
[INFO] |  | +- org.apache.xmlgraphics:batik-util:jar:1.7:compile 
[INFO] |  | \- xml-apis:xml-apis-ext:jar:1.3.04:compile 
[INFO] |  +- net.sourceforge.nekohtml:nekohtml:jar:1.9.12:compile 
[INFO] |  \- commons-httpclient:commons-httpclient:jar:3.1:compile 
[INFO] |  \- commons-codec:commons-codec:jar:1.2:compile 
[INFO] +- com.sun.faces:jsf-api:jar:2.1.7:compile 
[INFO] \- joda-time:joda-time:jar:1.6:compile 
[INFO] ------------------------------------------------------------------------ 
[INFO] BUILD SUCCESSFUL 
[INFO] ------------------------------------------------------------------------ 
[INFO] Total time: 5 seconds 
[INFO] Finished at: Mon Mar 19 12:55:23 CET 2012 
[INFO] Final Memory: 31M/342M 
[INFO] ----------------------------------------

EDIT: それは
この正常です、それは

<cookie-config> 
    <secure>true</secure> 
</cookie-config>

クッキーなしで働いているように見えるデフォルトでセキュアモードでもありますか?私はこのクッキー設定のものはもう必要ないのですか?感謝! ありがとう!

出典

2012-03-14 Joerg

+1

私はJBossの人にバグとして報告したいと思います。 – BalusC

+0

@BalusC大丈夫なこと:何かが削除されていると動作しています: ' true'クッキーをチェックしていれば、安全なコードとして保存されています....もし私が安全なものを挿入すると、サーブレットのServlet.service()が得られます。Facesサーブレットは例外をスローしました:javax.faces.application.ViewExpiredException' - この安全なものは不要ですか? – Joerg

+0

cookie-configに起因する同様の問題があります。設定されている場合にのみ、古いタービンベースのアプリケーションは「無限再帰」に入ります。奇妙なことは、HTTPSでサーバにアクセスするときに trueに問題がないことです。 – nettle

答えて

1

https sslまたはポート80 httpを使用していますか? httpを使用している場合、セキュアなクッキーをSSL経由で安全な手段として削除してください

Webサーバーのように見えますが、Cookieが取得されず、毎回新しいセッションが作成されます。安全なクッキーを無効にすると(falseを意味する)、それはうまくいくはずです。

ブラウザがCookieを受け入れているとは限りません。 https://www.youtube.com/watch?v=CVEo7wug2ksはクッキーの表示方法を示しています(テストしない限り削除しないでください)

出典

2013-04-21 12:00:56 tgkprog

+0

私は私の質問に書いたのと同じですが、私は今それを閉じます.... – Joerg

-1

web.xmlにjavax.faces.STATE_SAVING_METHODclientに設定しましたか?

<context-param> 
    <param-name>javax.faces.STATE_SAVING_METHOD</param-name> 
    <param-value>client</param-value> 
</context-param>

サーバーの代わりにクライアント側にJSF状態が保存されている必要があります。

出典

2012-03-17 17:21:12

+0

これは動作しません。 まだjSessionがありますURL ... – Joerg

0

使用してみてください<のhttp-のみ>真/偽</HTTP-のみ>それは、クッキーとの問題であるかどうかを確認するためにあなたのクッキー-configにHTTPのみのアドオン。

実際には、http-onlyは、それをサポートするブラウザを必要とし、クライアント側でクッキーを取得している誰かからクッキーを保護することを目的としています。したがって、それは直接関連性があるべきではありません。しかし、私はJBoss内でこれが正しく処理されているという私の家には賭けていません。

何らかの理由で第1の要求でクッキーが生成されない場合、サーバーのフォールバックは通常、URLにJSessionIDをエンコードします。

出典

2012-10-08 21:26:43 Alex

関連する問題

 関連する問題