当前位置: 代码迷 >> Web前端 >> 改动sessionId
  详细解决方案

改动sessionId

热度:96   发布时间:2012-11-01 11:11:32.0
更改sessionId.
当你访问一个页面时(未登陆), sessionId就已经生成, 当你登陆后, sessionId也不会变, 这时就会给黑客以可乘之机。 使用如下方法可以解决。

1. 一般在登陆时先用request.getSession().invalidate();使之前的sessionId失效, 这时会重新生成sessionId.

2.如果没有重新生成, 再用如下方法:好像tomcat较新版本就要修改如下。
<Connector port="8009" address="${jboss.bind.address}" protocol="AJP/1.3"
         emptySessionPath="true" enableLookups="false" redirectPort="8443" />
这里的emptySessionPath="true"
设置为true表示当session被request.getSession().invalidate();后再次取,sessionId不会变, 改为false后就会变了。