Совместное использование файлов cookie сеанса ASP.NET с помощью Java-апплета

Question

Совместное использование файлов cookie сеанса ASP.NET с помощью Java-апплета

У меня есть Java-апплет, который работает внутри страницы aspx с проверкой подлинности с помощью форм. В версии моего сайта.NET 1.1 апплет имеет доступ к куки-файлу сеанса и может извлечь файл с сервера, но в версии.NET 2.0 он не может пройти аутентификацию.

Я видел пару постов в других форумах, в которых говорится, что 2.0 по умолчанию устанавливает куки для HttpOnly, но приведенные решения пока не работают для меня. Я также где-то читал, что 2.0 может быть дискриминационным в зависимости от агента пользователя.

У кого-нибудь есть опыт или понимание этого?

3

.net session cookies applet httponly

Источник

user8211 14 окт '08 в 15:42

4 ответа

Решение

Филипп правильно и неправильно, по крайней мере, в отношении Java и ASP.NET. Апплет может получить доступ к сеансу ASP.NET путем обмана. В моем случае мы добавили идентификатор сеанса в качестве параметра к апплету, который апплет затем добавил в виде куки в своих запросах. Кажется, работает нормально. (Мы зашифровали идентификатор сессии, чтобы помешать этим отвратительным хакерским людям!)

1

Источник

user525631 30 ноя '10 в 20:15

Филип ответил не совсем правильно. Я запустил программу для прослушивания заголовков HTTP на моей рабочей станции, и апплет Java фактически предоставляет билет проверки подлинности ASP.NET при некоторых обстоятельствах - просто недостаточно надежно для моих нужд.

В конце концов я нашел решение, но это не полностью решило мою проблему. Вы можете добавить запись в web.config в.NET 2.0: <httpCookies httpOnlyCookies="false" />; но это не сработало для всех моих пользователей.

Долгосрочное решение оказалось модифицировать Java-апплет, так что ему не нужно ничего получать с веб-сервера.

0

Источник

user8211 17 мар '09 в 23:52

Я знаю, что это может быть очень поздний ответ, но я могу дать вам более простое решение: - обычно, не всегда, апплеты интенсивно используют html и javascript для своих интерфейсов и взаимодействия. - Javascript запускается в браузере. - Ajax звонки сделаны браузером. - Ajax-вызовы асинхронны и могут быть легко интегрированы в логику апплета.

Можно найти элегантное решение, интегрирующее вызовы Ajax с логикой апплета, делегируя браузеру безопасность.

0

Источник

user141345 10 апр '12 в 13:16

Другие вопросы по тегам .net session cookies applet httponly

user929862 06 сен '11 в 03:25 2011-09-06 03:25 · Accepted Answer · 2011-09-06 03:25

Этот вопрос старый, но я подумал, что было бы полезно получить правильный ответ здесь.

Филип путает Java на стороне сервера с Java на стороне клиента. Он прав, что нельзя использовать сеансы между двумя серверными платформами, такими как Java (J2EE) и ASP.Net, не используя индивидуальный подход.

Однако апплеты находятся на стороне клиента и поэтому должны иметь возможность доступа к информации о сеансе страницы хоста. Проблема заключается в том, что ASP.Net 2.0 добавил флаг HttpOnly для файлов cookie сеанса. Этот флаг не позволяет апплетам JavaScript и Java получать доступ к этим файлам cookie.

Временное решение: отключить флаг HttpOnly для файлов cookie сеанса. Хотя вы можете сделать это в конфигурации в более новых версиях ASP.Net, в предыдущих версиях решением было добавить следующий код в ваш файл Global.asax:

protected void Application_EndRequest(object sender, EventArgs e)
{
    /**
    * @note Remove the HttpOnly attribute from session cookies, otherwise the 
    *      Java applet won't have access to the session. This solution taken
    *      from
    *      http://blogs.msdn.com/jorman/archive/2006/03/05/session-loss-after-migrating-to-asp-net-2-0.aspx
    *
    *      For more information on the HttpOnly attribute see:
    *
    *      http://msdn.microsoft.com/netframework/programming/breakingchanges/runtime/aspnet.aspx
    *      http://msdn2.microsoft.com/en-us/library/system.web.httpcookie.httponly.aspx
    */
    if (Response.Cookies.Count > 0)
    {
        foreach (string lName in Response.Cookies.AllKeys)
        {
            if (lName == FormsAuthentication.FormsCookieName || 
                lName.ToLower() == "asp.net_sessionid")
            {
                Response.Cookies[lName].HttpOnly = false;
            }
        }
    }
}

Обратите внимание, что даже с этим исправлением не все комбинации браузера / ОС /Java могут получить доступ к файлам cookie. В настоящее время я исследую проблему, связанную с недоступностью файлов cookie сеанса в Firefox 4.0.1 с Java 1.6.0_13 в Windows XP.

Обходной путь заключается в использовании подхода, предложенного доктором Дадом, когда идентификатор сеанса передается апплету в качестве параметра, а затем либо внедряется в URL-адрес запроса (требуется включить сеансы URL-адреса в конфигурации на стороне сервера), либо отправлено в виде установленного вручную файла cookie.