Jsf 验证每个请求的JSESSIONID

我在我的web应用程序中使用Spring安全性

我收到一份漏洞检查报告，指出在“Cookie”标题中使用错误的JSESSIONID将始终重定向到登录页面。但是，它应该重定向到错误页面

我曾尝试使用

解决此问题，但对我无效

当JSSessionID错误或由外部方随机生成时，如何强制重定向到错误页面

---

如果您有任何建议，我们将不胜感激。

您是否知道过期会话也会以这种方式匹配？是的，我需要在这两种情况下将用户重定向到无效会话页面。确定。你知道Spring方法是如何失败的吗？您是否正在启动JSF ajax请求？你观察到HTTP流量了吗？我不做Spring，所以我不能回答这一部分（它的文档似乎也表明您的尝试应该有效），但我可以回答普通的servlet过滤器方法。请看这里：这只是JSF ajax还没有意识到（但我也可以回答，如果需要的话）。我试图用我编写的Cookie JSESSIONID向登录页面（公共页面）提交请求，收到登录页面响应，我希望重定向到错误页面。设置更改后是否重新构建/重新部署/重新启动？