67,536
社区成员
发帖
与我相关
我的任务
分享如何在客户端(请求头信息)隐藏JSESSIONID
我在本地测试,http://127.0.0.1:8080/freemarke/page/index.jsp
用firefox的调试功能(请求头信息)查看cookie:
如下:
JSESSIONID=11A1F1F0B28A5C11F7CD4B4D2850138F
而我在email.163.com登录之后(http://g4a36.mail.163.com/js3/main.jsp?sid=mAvCdXGKjEryNEViraKKtfhbOjZXRCji)(请求头信息)
的cookie:
如下:
Province=020; City=020; logType=-1; nts_mail_user=15217301011:-1:1; P_INFO=javaweb@163.com|1300161363|0|mail163|11&17|gud&1300160277&mail163#gud&440100#10|152011&1; MAIL163_SSN=javaweb; USERTRACK=183.1.233.219.1300159070180478; ntes_mail_firstpage=normal; NTES_SESS=vGDH4F6TT5sMWIRtJuZCwkR.wjHrfAWF7XiG.X4_lyNJO_z6kZeslJRMZcs8j0728i_oUGedEHvHudxCKMeuapcpnNniIhzY8RF5kXKmJjvDU8yJbUgp0TxOLMnBPGDWUCLnx9MRHSd0xusZLJmrW.irU; S_INFO=1300161363|0|3&100##; Coremail=1300160277890%vBaZyCdrBAUmSkIygcrrkQgLkXgcLIZt%g2a79.mail.163.com; ntes_misc=0|59.174.77.170; cm_last_info=dT1tbjk2MG1uJTQwMTYzLmNvbSZkPWh0dHAlM0ElMkYlMkZnMmE3OS5tYWlsLjE2My5jb20lMkZqczMlMkZtYWluLmpzcCUzRnNpZCUzRHZCYVp5Q2RyQkFVbVNrSXlnY3Jya1FnTGtYZ2NMSVp0JnM9dkJhWnlDZHJCQVVtU2tJeWdjcnJrUWdMa1hnY0xJWnQmaD1odHRwJTNBJTJGJTJGZzJhNzkubWFpbC4xNjMuY29tJTJGanMzJTJGbWFpbi5qc3AlM0ZzaWQlM0R2QmFaeUNkckJBVW1Ta0l5Z2NycmtRZ0xrWGdjTEladCZ3PWcyYTc5Lm1haWwuMTYzLmNvbSZsPS0xJnQ9LTEmdj0w; Coremail.sid=vBaZyCdrBAUmSkIygcrrkQgLkXgcLIZt; mail_style=js35; mail_uid=javaweb@163.com; mail_host=g2a79.mail.163.com; MAIL_SESS=Is59Gt19p8S1lSSvtr._2M__hzwEPme0vH8JOHBMrw_zeMp1Rj2GrzAxjZG5of3058MuDJ2.XTITg.9Vqx2gdCZC4_48QKpS5AEbRHqazoIhD5wzsDPCfY9eix4ktJhNDVi49lxATv.f9gGjizacNO8cD; mail_pos=152_0
很显然,没有JSESSIONID
我们知道:一旦有JSESSIONID,就很不安全。
(大家可以自行查看 firefox 的 请求头信息 )
请问如何做到如何在客户端(在 请求头信息 里隐藏)隐藏JSESSIONID
用firefox的调试功能(请求头信息)查看cookie:
如下:
JSESSIONID=11A1F1F0B28A5C11F7CD4B4D2850138F
而我在email.163.com登录之后(http://g4a36.mail.163.com/js3/main.jsp?sid=mAvCdXGKjEryNEViraKKtfhbOjZXRCji)(请求头信息)
的cookie:
如下:
Province=020; City=020; logType=-1; nts_mail_user=15217301011:-1:1; P_INFO=javaweb@163.com|1300161363|0|mail163|11&17|gud&1300160277&mail163#gud&440100#10|152011&1; MAIL163_SSN=javaweb; USERTRACK=183.1.233.219.1300159070180478; ntes_mail_firstpage=normal; NTES_SESS=vGDH4F6TT5sMWIRtJuZCwkR.wjHrfAWF7XiG.X4_lyNJO_z6kZeslJRMZcs8j0728i_oUGedEHvHudxCKMeuapcpnNniIhzY8RF5kXKmJjvDU8yJbUgp0TxOLMnBPGDWUCLnx9MRHSd0xusZLJmrW.irU; S_INFO=1300161363|0|3&100##; Coremail=1300160277890%vBaZyCdrBAUmSkIygcrrkQgLkXgcLIZt%g2a79.mail.163.com; ntes_misc=0|59.174.77.170; cm_last_info=dT1tbjk2MG1uJTQwMTYzLmNvbSZkPWh0dHAlM0ElMkYlMkZnMmE3OS5tYWlsLjE2My5jb20lMkZqczMlMkZtYWluLmpzcCUzRnNpZCUzRHZCYVp5Q2RyQkFVbVNrSXlnY3Jya1FnTGtYZ2NMSVp0JnM9dkJhWnlDZHJCQVVtU2tJeWdjcnJrUWdMa1hnY0xJWnQmaD1odHRwJTNBJTJGJTJGZzJhNzkubWFpbC4xNjMuY29tJTJGanMzJTJGbWFpbi5qc3AlM0ZzaWQlM0R2QmFaeUNkckJBVW1Ta0l5Z2NycmtRZ0xrWGdjTEladCZ3PWcyYTc5Lm1haWwuMTYzLmNvbSZsPS0xJnQ9LTEmdj0w; Coremail.sid=vBaZyCdrBAUmSkIygcrrkQgLkXgcLIZt; mail_style=js35; mail_uid=javaweb@163.com; mail_host=g2a79.mail.163.com; MAIL_SESS=Is59Gt19p8S1lSSvtr._2M__hzwEPme0vH8JOHBMrw_zeMp1Rj2GrzAxjZG5of3058MuDJ2.XTITg.9Vqx2gdCZC4_48QKpS5AEbRHqazoIhD5wzsDPCfY9eix4ktJhNDVi49lxATv.f9gGjizacNO8cD; mail_pos=152_0
很显然,没有JSESSIONID
我们知道:一旦有JSESSIONID,就很不安全。
(大家可以自行查看 firefox 的 请求头信息 )
请问如何做到如何在客户端(在 请求头信息 里隐藏)隐藏JSESSIONID
...全文
请发表友善的回复…
发表回复
ChDw 2011-04-11
- 打赏
- 举报
tomcat5.x和tomcat6.x 中方法是修改启动文件,加上参数
set CATALINA_OPTS=%CATALINA_OPTS% -Dorg.apache.catalina.SESSION_COOKIE_NAME=MyName
这样就可以
set CATALINA_OPTS=%CATALINA_OPTS% -Dorg.apache.catalina.SESSION_COOKIE_NAME=MyName
这样就可以
XiangZhiLiu 2011-04-10
- 打赏
- 举报
不用地址+?号的传递方式不就看不到了?自己写个form,submit过去吧~~
java_web_hack3 2011-04-10
- 打赏
- 举报
现在的问题是:
怎么在tomcat5.x和tomcat6.x
中更改cookie的名称
怎么在tomcat5.x和tomcat6.x
中更改cookie的名称
java_web_hack3 2011-04-10
- 打赏
- 举报
servlet3.0中,有两种方法。
1:
在web.xml中配置:
<session-config>
<cookie-config>
<name>HACKSESSIONID</name>
</cookie-config>
</session-config>
第二
写监听器:
package com.weblistener;
import javax.servlet.ServletContextEvent;
import javax.servlet.ServletContextListener;
import javax.servlet.SessionCookieConfig;
public class SessionCookieListener implements ServletContextListener
{
public void contextDestroyed(ServletContextEvent arg0)
{
}
public void contextInitialized(ServletContextEvent contextEvent)
{
SessionCookieConfig scc = contextEvent.getServletContext().getSessionCookieConfig();
scc.setName("hackSessionid");
}
}
web.xml
<listener>
<listener-class>com.weblistener.SessionCookieListener</listener-class>
</listener>
1:
在web.xml中配置:
<session-config>
<cookie-config>
<name>HACKSESSIONID</name>
</cookie-config>
</session-config>
第二
写监听器:
package com.weblistener;
import javax.servlet.ServletContextEvent;
import javax.servlet.ServletContextListener;
import javax.servlet.SessionCookieConfig;
public class SessionCookieListener implements ServletContextListener
{
public void contextDestroyed(ServletContextEvent arg0)
{
}
public void contextInitialized(ServletContextEvent contextEvent)
{
SessionCookieConfig scc = contextEvent.getServletContext().getSessionCookieConfig();
scc.setName("hackSessionid");
}
}
web.xml
<listener>
<listener-class>com.weblistener.SessionCookieListener</listener-class>
</listener>
java_web_hack3 2011-04-10
- 打赏
- 举报
设置 org.apache.catalina.SESSION_COOKIE_NAME 的系统参数
怎么设置。
在哪设置,。
怎么设置。
在哪设置,。
火龙果被占用了 2011-03-25
- 打赏
- 举报
Tomcat 5.5.28; Tomcat 6.0.19 及以后版本可以设置 org.apache.catalina.SESSION_COOKIE_NAME 的系统参数,将这个系统参数的值设为其他的,默认为 JESSIONID。这些版本以下无法实现。
Tomcat 7.0.x 遵从了 Servlet 3.0 规范,可以直接从 SessionCookieConfig#setName 中设置这个值,根据 Servlet 3.0 规范,所有实现 Servlet 3.0 规范的容器默认值必须是 JESSIONID,用户可以使用 SessionCookieConfig#setName 重置这个值,详见这个接口的 API 文档:
http://download.oracle.com/javaee/6/api/javax/servlet/SessionCookieConfig.html#setName%28java.lang.String%29
Tomcat 甚至扩展 StandardManager 还可以把 Session ID 的生成算法给改掉
Tomcat 7.0.x 遵从了 Servlet 3.0 规范,可以直接从 SessionCookieConfig#setName 中设置这个值,根据 Servlet 3.0 规范,所有实现 Servlet 3.0 规范的容器默认值必须是 JESSIONID,用户可以使用 SessionCookieConfig#setName 重置这个值,详见这个接口的 API 文档:
http://download.oracle.com/javaee/6/api/javax/servlet/SessionCookieConfig.html#setName%28java.lang.String%29
Tomcat 甚至扩展 StandardManager 还可以把 Session ID 的生成算法给改掉
Coolfatman 2011-03-24
- 打赏
- 举报
在一些服务器中,例如weblogic ,可以修改sessionid在cookie中的名称,生成方法。所谓的没有jsessionid 就是这样玩出来的。sessionid必然存在,要么通过cookie传,要么通过参数传递。
火龙果被占用了 2011-03-24
- 打赏
- 举报
这名字可以改的
java_web_hack3 2011-03-24
- 打赏
- 举报
急求答案。。。。
emon123 2011-03-15
- 打赏
- 举报
ie设置里面不要禁用cookie
ChDw 2011-03-15
- 打赏
- 举报
一样有MAIL_SESS这样的SessionID,有什么区别。只是名称换了而已
soli11722984 2011-03-15
- 打赏
- 举报
用用户名作为KEY,到后台根据KEY查询信息
