博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
jsessionid问题解决方案
阅读量:4291 次
发布时间:2019-05-27

本文共 2353 字,大约阅读时间需要 7 分钟。

bigdatafish
2016-11-24 17:31

jsessionid问题解决方案

jessionid会话盗用漏洞,现在是两种方案:

1. 方案一:用户IP和用户会话绑定,目前F5代理后获取不到真实机器的IP ,

2.方案二:判断jessionid来源,如果来源URL,就做403界面重定下,拒绝访问,目前方案一获取不到IP地址,只能用方案测试。

代码如下:

package com.tydic.dbp.util;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import javax.servlet.http.HttpSession;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

public class AuthFilter implements Filter {

private static final Logger LOGGER = LoggerFactory

.getLogger(AuthFilter.class);

public void destroy() {

}

public void doFilter(ServletRequest servletRequest,

ServletResponse servletResponse, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest) servletRequest;

HttpServletResponse response = (HttpServletResponse) servletResponse;

String uri = request.getRequestURI();

String url = request.getRequestURL().toString();

HttpSession session = request.getSession();

String ip = IpUtils.getIpAddr(request);

Object user = session.getAttribute("tydic.dbp.user");

Object sessionIP = session.getAttribute("ip");

// SSO 放行资源是获取不到SESSION信息的,注意

String[] six = { ".swf", ".js", ".css", ".gif", ".png", ".jpg",

"/service", "dbp.jsp" };

for (String key : six) {

if (uri.indexOf(key) > -1) {

chain.doFilter(servletRequest, servletResponse);

return;

}

}

// System.out.println("************uri" + uri);

// System.out.println("************url: " + url);

// System.out.println("************user" + user);

if (request.isRequestedSessionIdFromURL()) {

response.sendRedirect("http://134.64.106.187:8000/portal/webpoint/main/403.jsp");

return;

/*if (session != null) {

session.invalidate();

}*/

}

LOGGER.info("************sessionIp: " + sessionIP);

LOGGER.info("************clinetIp: " + ip);

if ((user == null) || (sessionIP == null) || (!(ip.equals(sessionIP)))) {

LOGGER.info(" ***************** error sendRedirect ");

response.sendRedirect("http://154.64.116.187:8000/portal/webpoint/main/403.jsp");

return;

} else {

chain.doFilter(servletRequest, servletResponse);

return ;

}

}

public void init(FilterConfig filterConfig) throws ServletException {

}

转载地址:http://zaggi.baihongyu.com/

你可能感兴趣的文章
Android API version 查询
查看>>
【原创】Android 耗电信息统计服务——BatteryStats源码分析(一)
查看>>
Android开发的福音,谷歌隆重推出 Android KTX预览版,让 Kotlin 的开发更美妙!
查看>>
Android面试神器之Rxjava破冰
查看>>
面试神器第二弹:Rxjava熟悉——操作符
查看>>
带你过一遍Android 多主题框架——MagicaSakura
查看>>
这款神器你不学就要落后了!
查看>>
谷歌开源跨平台UI框架——Flutter
查看>>
Android进阶必学:自定义注解之动态代理
查看>>
Android进阶必学:自定义注解之反射
查看>>
Android进阶之注解解析和自定义注解
查看>>
你想成为Android高级工程师你还得学习Hook
查看>>
菜鸟带你Hook技术实战
查看>>
BAT面试题集锦——Java基础(一)
查看>>
BAT面试题集锦——Java基础(二)
查看>>
Retrofit原理解析最简洁的思路
查看>>
Okhttp的源码解读
查看>>
【Android P】 JobScheduler服务源码解析(二) ——框架解析
查看>>
【Android P】 JobScheduler服务源码解析(三)—— 使用Job需要注意的点
查看>>
string和wstring相互转换
查看>>
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!-- 愿君每日到此一游!
当前时间: 2024-10-05 04:30:45   当前IP: 18.216.47.169   联系邮箱:javaeecc@qq.com     Copyright © 2020 - 2022 baihongyu.com 京ICP备2021015314号-2
强烈建议你试试无所不能的CHAT-GPT,快点击我
强烈建议你试试无所不能的CHAT-GPT,快点击我