不接受外部创建的会话标识...sessionId与Ip绑定?...求解
情况是这样的,做了个java WEB项目,已经完工,在提交给客户时,客户用了 IBM Rational AppScan 对网站进行了安全评估扫描,扫描结果中,有个风险是说
不接受外部创建的会话标识 在翻阅相关文档后,感觉还是没能彻底明白到底是什么意思。 会话标识 不久是sessionId嘛,不接受外部创建的会话标识,是不是就是说知道人家的sessionId后,在自己的浏览器中调用相应的URL同时加上人家的sessionID 就能取到别人的数据?那我岂不是要将sessionId和Ip绑定?在程序中实现起来有些难度,我听说可以在web容器中进行配置,请问该如何配呢?(或者我的想法就是错的)。。
我用的jboss4.0 容器 网站采用https协议。
------解决方案--------------------顶一下,求高手。学习一下
------解决方案--------------------理论上sessionID只要正确,就能盗用他人的session。
我们是通过程序控制的,简单的做个MAP,key是session+IP,value是session对象。每次访问先用sessionID+IP拼个key,看能不能取到,不能取到就重定向了。
用户的IP在web服务器上是可以设置的,我们用的nginx,配置了x-forwarded-for的信息,可以通过这个头取IP信息。