如何解决当用户在活动会话中禁用和启用浏览器中的 cookie 时,JSF 2.2使用 Flow中的预期行为
我提到我的应用程序中有一个流,因此 URL 添加了 jfwid。我不确定所描述的情况是否仅与 jsf 流程有关。
使用 Java 1.8 在 Wildfly 上构建 JSF 2.2 应用程序(目前是一个 Flow) 我在 web.xml(3.1 版)中有以下设置
<error-page>
<exception-type>javax.faces.view.facelets.TagAttributeException</exception-type>
<location>/WEB-INF/errorpages/expired.jsf</location>
</error-page>
<error-page>
<location>/WEB-INF/errorpages/general.jsf</location>
</error-page>
<session-config>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
根据 OWASP,建议不要在 URL (https://owasp-aasvs.readthedocs.io/en/latest/requirement-3.6.html) 中包含会话 ID。
在没有任何预防措施的情况下,JSF 将 JSESSIONID 参数添加到 URL - 至少对于尚未设置 cookie 的第一个请求,或者如果用户禁用了 cookie 的所有请求。
设置 tracking-mode
我想防止这种基本上有效的行为。
附带说明:我还询问了 How secure is the usage of JSF Flow Scope?,因为 jfwid 中也使用了会话 ID。
如上面的 web.xml 所示,我还按照推荐在 WEB-INF 中设置了一些错误页面,例如在 Java EE 8 中的 JSF 权威指南中。
基本上一切正常,如果用户禁用了 cookie,则会显示一个错误页面,其中包含检查 cookie 设置的信息。
现在我的“问题”(在 Chrome 开发工具中完成):我在应用程序的其中一个页面上玩弄了 cookie 并禁用了它们(URL 显示 jfwid)。
点击继续按钮
<h:commandLink id="submit"
type="submit"
action="#{bean.action}"
value="#{msg.button_continue}">
</h:commandLink>
应用程序显示一个错误页面(显然是因为禁用 cookie 时会话 ID 信息不再可用;由后面抛出的 ContextNotActiveException 确认)。 URL 没有改变,所以它仍然是之前添加了 jfwid 参数的 URL;这是预期的 WEB-INF URL 无法显示我会说。
现在,如果我启用 cookie 并在该 URL 上按 ENTER,页面将再次打开并可以继续处理。我可以看到旧的 jsessionid cookie 在那里并且流还没有完成,因为错误页面不是流的返回节点(我不知道我如何定义它)所以行为似乎有道理。
这是应用程序的问题吗?或者浏览器维护cookies?应用程序可以处理这种情况吗?我认为会话无效不仅因为 cookie 被禁用,而且因为我不知道如何在显示 WEB-INF/错误页面时进行重定向。
我能否以某种方式“最终确定”流程,当意外离开时,例如如果显示的全局错误页面未定义为流的返回节点? 我认为在 ExceptionHandler 中我可能不再处于流程范围内? 可能是 PhaseListener?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。