在本文中,我们将给您介绍关于在Tomcat中支持不带Cookie的会话的详细内容,并且为您解答tomcat可以不配置环境变量吗的相关问题,此外,我们还将为您提供关于ApacheTomcat存在cook
在本文中,我们将给您介绍关于在Tomcat中支持不带Cookie的会话的详细内容,并且为您解答tomcat可以不配置环境变量吗的相关问题,此外,我们还将为您提供关于Apache Tomcat 存在 cookie 泄漏漏洞、ff下flash请求为啥不带cookie、nginx tomcat cookie冲突、post 请求不带cookie 问题的知识。
本文目录一览:- 在Tomcat中支持不带Cookie的会话(tomcat可以不配置环境变量吗)
- Apache Tomcat 存在 cookie 泄漏漏洞
- ff下flash请求为啥不带cookie
- nginx tomcat cookie冲突
- post 请求不带cookie 问题
在Tomcat中支持不带Cookie的会话(tomcat可以不配置环境变量吗)
我当前正在运行具有以下属性的应用程序:
- 基于Java的Spring和Acegi
- 在Tomcat 5上运行
我需要能够支持 没有 cookie的用户会话。有人可以指出我正确的方向。
谢谢。
答案1
小编典典这个问题的完整答案是您所有回答的结合,因此,我将总结一下:
无需在context.xml文件中设置cookies =“ false”。tomcat的理想功能是使用基于URL的会话标识,如果用户不支持cookie,则默认情况下将使用该标识。
当用户未启用Cookie时,tomcat将通过请求网址中的“ JSESSIONID”参数来识别会话。几个示例URL如下所示,
http://www.myurl.com;jsessionid=123456AFGT3http://www.myurl.com;jsessionid=123456AFGT3?param1=value¶m2=value2请注意会话ID如何不属于url查询字符串(这是j2ee标准)为了确保将jsessionid参数附加到所有请求URL中,不能使用纯URL引用。例如,在JSTL中,您必须使用
<%-这很糟糕:-%> 链接
<%-这很好:-%> ”>链接
Apache Tomcat 存在 cookie 泄漏漏洞
漏洞描述
Apache Tomcat 是一款开源的 Web 应用服务器,RemoteIpFilter 是一个过滤器,用于将 HTTP 请求中代理服务器的 IP 地址替换为客户端的真实 IP 地址。
受影响版本中,当使用 RemoteIpFilter 处理通过 HTTP 从反向代理接收到的请求时,如果请求头中包含设置为 https 的 X-Forwarded-Proto 字段,Tomcat 创建的会话 cookie 将不包括安全属性,从而导致用户代理通过不安全的渠道传输会话 cookie。攻击者可通过抓包获取用户 cookie,从而使用受害者身份执行恶意操作。
| 漏洞名称 | Apache Tomcat 存在 cookie 泄漏漏洞 |
|---|---|
| 漏洞类型 | 信息暴露 |
| 发现时间 | 2023-03-22 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-2023-8611 |
| CVE编号 | CVE-2023-28708 |
| CNVD编号 | - |
影响范围
org.apache.tomcat:tomcat-catalina@[11.0.0, 11.0.0-M3)
org.apache.tomcat:tomcat-catalina@[10.0.0, 10.1.6)
org.apache.tomcat:tomcat-catalina@[9.0.0, 9.0.72)
org.apache.tomcat:tomcat-catalina@[8.0.0, 8.5.86)
修复方案
升级org.apache.tomcat:tomcat-catalina到 8.5.86 或 9.0.72 10.1.6 或 11.0.0-M3 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2023-8611
https://nvd.nist.gov/vuln/detail/CVE-2023-28708
https://tomcat.apache.org/security-11.html
https://github.com/apache/tomcat/commit/c64d496dda1560b5df113be55fbfaefec349b50f
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
ff下flash请求为啥不带cookie
jquery uploadify在ie下可以正常上传,在实现异步上传的时候,每一个文件在上传时都会提交给服务器一个请求。每个请求都需要安全验证,session和cookie的校验。由于jquery uploadify是借助flash来实现上传的,每一次向后台发送数据流请求时,ie会自动把本地cookie存储捆绑在一起发送给服务器。但firefox、chrome不会这样做,他们会认为这样不安全。
nginx tomcat cookie冲突
我在同一tomcat下放了两个网站,一个在root下,一个在aa目录下,访问www.xxx.com 能正常访问,访问www.xxx.com/aa 能访问aa网站,但是,访问aa的时候,输入用户名密码 不能正常登陆,清除cookie,重新打开ie,就能正常登陆aa网站,但是,这个时候,打开www.xxx.com,输入用户名和密码,则不能登陆。只有清楚cookie才可以。
在dns上,设置aa.xxx.com指向改ip,但是,输入aa.xxx.com,自动指向了www.xxx.com/aa.
现在的解决方案是做了两个tomcat,两个网站分别放在两个tomcat下,能解决这个问题,但是,领导不同意这么搞,请问大家这个问题,应该怎么解决呢。
post 请求不带cookie 问题
网上各种方法都试了就是不带cookie过去,最后发现,
并没有 属于 当前 domain 的cookie
所以一个都没有携带
我们今天的关于在Tomcat中支持不带Cookie的会话和tomcat可以不配置环境变量吗的分享就到这里,谢谢您的阅读,如果想了解更多关于Apache Tomcat 存在 cookie 泄漏漏洞、ff下flash请求为啥不带cookie、nginx tomcat cookie冲突、post 请求不带cookie 问题的相关信息,可以在本站进行搜索。
本文标签:
![[转帖]Ubuntu 安装 Wine方法(ubuntu如何安装wine)](https://www.gvkun.com/zb_users/cache/thumbs/4c83df0e2303284d68480d1b1378581d-180-120-1.jpg)
