JBoss 5: используйте безопасные и httpOnly куки и скрывайте jsessionid от URL

Question

JBoss 5: используйте безопасные и httpOnly куки и скрывайте jsessionid от URL

Я использую JBoss EAP 5.2. Чтобы использовать httpOnly и безопасные куки, я изменяю файл context.xml, добавляя:

<Context cookies="true" crossContext="true" >
   <SessionCookie secure="true" httpOnly="true" />
   ....

Но теперь я вижу jsessionid в URL во всех запросах. Поэтому, чтобы скрыть это, я написал фильтр, предложенный на сайте RedHat ( https://access.redhat.com/solutions/16169).

public class JsessionIdRemoveFilter implements Filter {

        public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
                throws IOException, ServletException {

            if (!(req instanceof HttpServletRequest)) {
                chain.doFilter(req, res);
                return;
            }

            HttpServletRequest request = (HttpServletRequest) req;
            HttpServletResponse response = (HttpServletResponse) res;

            // Redirect requests with JSESSIONID in URL to clean version (old links bookmarked/stored by bots)
            // This is ONLY triggered if the request did not also contain a JSESSIONID cookie! Which should be fine for bots...
            if (request.isRequestedSessionIdFromURL()) {
                String url = request.getRequestURL()
                             .append(request.getQueryString() != null ? "?"+request.getQueryString() : "")
                             .toString();
                response.setHeader("Location", url);
                response.sendError(HttpServletResponse.SC_MOVED_PERMANENTLY);
                return;
            }

            // Prevent rendering of JSESSIONID in URLs for all outgoing links
            HttpServletResponseWrapper wrappedResponse =
                new HttpServletResponseWrapper(response) {
                    @Override
                    public String encodeRedirectUrl(String url) {
                        return url;
                    }

                    @Override
                    public String encodeRedirectURL(String url) {
                        return url;
                    }

                    @Override
                    public String encodeUrl(String url) {
                        return url;
                    }

                    @Override
                    public String encodeURL(String url) {
                        return url;
                    }
                };
            chain.doFilter(req, wrappedResponse);

        }

         public void destroy() {
         }

         public void init(FilterConfig arg0) throws ServletException {
         }
    }

Но теперь я не могу войти, я получаю исключение: javax.faces.application.ViewExpiredException

Что мне не хватает? Пожалуйста помоги

0

java jsf cookies jboss

Источник

user691404 12 авг '14 в 10:50

1 ответ

Другие вопросы по тегам java jsf cookies jboss

user691404 27 авг '14 в 07:54 2014-08-27 07:54 · Answer 1 · 2014-08-27 07:54

Чтобы использовать secure=true, необходимо установить сертификат, чтобы запросы проходили через https.

0

Источник

user691404 27 авг '14 в 07:54