我想,以防止在用户登录后更改JSESSIONID会话固定漏洞。如何在用户登录liftweb后更改JSESSIONID的值?
我使用的是SessionVar
存储用户数据,并S.session.open_!.destroySessionAndContinueInNewSession
无效旧的会话,并创建在登录时新的。
但是,它不起作用。 JSESSIONID
的值完全不变。它仍然是一样的。
我也尝试登出使用:
S.session.open_!.destroySession()
S.request.foreach(_.request.session.terminate)
触发会话ID复位。但是,它也不起作用。
如何在liftweb上登录时更改JSESSIONID的值?
很酷。感谢您的提示。我在这里发布了这个发现:http://winston.attlin.com/2014/04/choose-your-container-to-fix-session.html –