解決
この欠陥 (見 こちらの)を使用していないことが求められていたのです。Tomcatのインスタンスで動作するJBossに設定されてemptySessionPath="true"と"false"の場合は、デフォルトです。この変形が可能 .../deploy/jboss-web.deployer/server.xml
;のHTTP AJPコネクタを定義することができます。■
特徴そのものを解消するコンテキストパスを(例えば."foo"を http://example.com/foo からのJSESSIONIDク。これをfalseに設定すると、まうアプリケーションをクロス-アプリケーション認証によるもの蔵を利用ポータルの枠組みなに悪影響を及ぼすの申請に質問しています。
他のヒント
この問題の特定の場合で発生する問題をTomcatどJBoss.Tomcat株式のemptySessionPath="true"の効果(実際にJBossを継承からTomcat).
このようなプログラムにバグTomcatには、JBossきているセッション固定の攻撃がサーブレットスペック(少なくともバージョン2.3)は実際にはJSESSIONIDを定義または再定義されかに記載の特定の論理です。これが浄化されて以降のバージョン
一回避策は、クライアントアドレスのセッション。対応ラッパーを検証し、クライアントアドレスの設定はセッションは一度にたくさんの人がアクセスする。
私は知り下記コード設定のスニペットからのフォーラム私の下に取り付けます。にしたものを印刷セッションIDの後に以前のログインに適用します。方法を教えてください試験セッション固定をします。
D:\jboss-5.1.0.GA\bin un.cof ファイルの追加には下線です。set JAVA_OPTS=%JAVA_OPTS%-Dorg.apache.catalina.コネクタが付いています。ます。SESSION_ID_CHECK=false"
各context.xml のjboss願います。D:\jboss-5.1.0.GA\server\default\deploy\jbossweb.sar\context.xml