Затопление создания сеанса Широ
Я заметил, что даже в качестве анонимного пользователя сеанс Широ создается (и вставляется в мою базу данных в моем случае) при моем первом доступе к веб-странице. После успешного входа в систему запись сеанса просто обновляется с соответствующими атрибутами.
Теперь я попробовал "стресс-тестирование" URL главной страницы:
curl -s "http://myapp.com?[1-1000]"
И мой страх сбылся, так как я считаю, что созданный сеанс - это столько же, сколько и цикл.
Таким образом, вопрос здесь заключается в том, могу ли я в любом случае избежать затопления создания сеанса веб-сканером или спамером?
2 ответа
Это работает для меня, когда разрешено создание сессии только при входе в систему, yayy:
/login = authc
/logout = noSessionCreation, logout
/** = noSessionCreation, anon
Принятое решение выдает исключение (как и ожидалось), если разработчик (или программная среда / библиотека) пытается создать сеанс на этих страницах. Это, как правило, "хорошая вещь", так как она будет показывать неожиданное использование сеанса во время разработки, гарантируя, что разработчики (или веб-платформы, которые вы используете) не будут создавать сеансы, когда они не должны этого делать.
Если вы используете JSP, вы, вероятно, захотите установить
<%@ page session="false" %>
Вверху JSP убедитесь, что библиотеки тегов или сам контейнер сервлетов не пытаются использовать сеансы (вы будете удивлены, увидев, как часто это происходит без вашего ведома).