Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Security 我安全吗?_Security_Session_Model View Controller_Session Fixation - Fatal编程技术网
Fatal编程技术网

Security 我安全吗?

security session model-view-controller

Security 我安全吗?,security,session,model-view-controller,session-fixation,Security,Session,Model View Controller,Session Fixation,我正在尝试为我的项目实现安全性,以防止会话固定 由于我无法访问处理整个会话创建和验证的组件(来自某个库的过滤器,我们称之为MagicFilter),因此我试图找到另一种可能的方法 现在,考虑我的会话的这个场景: 用户请求登录页面 MagicFilter使用JSESSIONID等设置cookie 其他过滤器做一些工作 JavaSpringMVC,所以作为用户看到LoginView之前的最后一步,我可以访问LoginController中的内容。在这里,i.invalidate()在返回视图之前将

我正在尝试为我的项目实现安全性,以防止会话固定

由于我无法访问处理整个会话创建和验证的组件(来自某个库的过滤器,我们称之为MagicFilter),因此我试图找到另一种可能的方法

现在,考虑我的会话的这个场景:

  • 用户请求登录页面
  • MagicFilter使用JSESSIONID等设置cookie
  • 其他过滤器做一些工作
  • JavaSpringMVC,所以作为用户看到LoginView之前的最后一步,我可以访问LoginController中的内容。在这里,i.invalidate()在返回视图之前将会话作废
因此,用户在登录页面时基本上没有真实有效的会话ID。只有在他登录MagicFilter后,才会分配另一个会话ID,然后将其粘贴,因为我只会在我的LoginController中使会话ID无效()

但这感觉非常粗糙,我不得不“破解”MagicFilter的自动过程。
有人能看出这在会话固定方面是否安全吗?

这对于堆栈溢出来说似乎相当广泛;也许这个网站会更合适?哇,我甚至都不知道这部分,所以,谢谢你的提示。我想我会把这个问题保留在这里,在我打开另一个关于安全部分的问题之前给它一些时间?我认为对整个web安全主题有很好理解的人可以很容易地回答这个问题,但我可能弄错了。