wf1982 2010-03-17 16:10
浏览 223
已采纳

javaeye.com 目前存在的bug

今天测试部门发现系统存在的bug,现在发现iteye.com 也存在同样的bug。

复制已经登录的url在session未失效时间内,在同台机器上 同浏览器打开新标签能登进去的问题。

一个系统 目前默认用的cookie传递session 方式,在浏览器中 登录后,复制url地址, 在session失效前,打开同样的浏览器,新建窗口,粘贴 url 也登录进去了,这个怎么控制使后者需要登录呢?(cookie里有了session 有了用户咋控制)

另外本人也试了 url重写的方式传递session 但是url里有;jsessionid= 。。。。。,也是一样能进,更不安全了!

如果用隐藏域的话 ,用post方式 url里肯定没有那些参数,但是 现在系统较复杂 改起来太多了,大家有好办法么?

刚刚试了 貌似 iteye.com 也存在这个问题啊! 呵呵

  • 写回答

8条回答 默认 最新

  • iteye_13500 2010-03-19 11:21
    关注

    [quote]恩,所以我觉得最好能够不用cookie机制,因为cookie的话 有可以被保存的机制;最好使用url重写 能把jsessionid隐藏掉就好了。[/quote]

    jsessionid不好隐藏的。

    [quote]倒是想过post方式,但是那个需要加隐藏的input表单 太麻烦了。[/quote]

    这个倒是可以试试。

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(7条)

报告相同问题?

悬赏问题

  • ¥15 前后端分离的学习疑问?
  • ¥15 stata实证代码答疑
  • ¥15 MATLAB数据处理插值
  • ¥50 husky+jaco2实现在gazebo与rviz中联合仿真
  • ¥15 dpabi预处理报错:Error using y_ExtractROISignal (line 251)
  • ¥15 在虚拟机中配置flume,无法将slave1节点的文件采集到master节点中
  • ¥15 husky+kinova jaco2 仿真
  • ¥15 zigbee终端设备入网失败
  • ¥15 金融监管系统怎么对7+4机构进行监管的
  • ¥15 硬件IIC从模式的数据发送,中断数据的接收,不能用HAL库(按照时序图)