session 安全问题(关闭页面时自动清除session)
2010-05-27 16:23
337 查看
要是直接关闭浏览器,并不直接触发SESION_ONEND事件,因此为了安全的需要,就需要调用页面关闭触发的事件onUnload
,利用这个事件来执行一个函数.在函数中调用session.abandon
事件,这样才是真正的实现了没有漏洞的SESSION的清除,如果只是单独利用session.abandon将导致直接关闭页面时SESSION还存
在,如果只是利用让服务器自动引发的SESSION_TIMEOUT事件,将在设置时间没有结束的一段时间内,SESSION还存在,这两种都存在安全漏
洞。
解决方法:
<body
onbeforeunload="window.location='logout.jsp'">
在logout.jsp里面做注销session的事情。
logout.jsp:
<%
HttpSession
session = request.getSession();
session.invalidate();
%>
,利用这个事件来执行一个函数.在函数中调用session.abandon
事件,这样才是真正的实现了没有漏洞的SESSION的清除,如果只是单独利用session.abandon将导致直接关闭页面时SESSION还存
在,如果只是利用让服务器自动引发的SESSION_TIMEOUT事件,将在设置时间没有结束的一段时间内,SESSION还存在,这两种都存在安全漏
洞。
解决方法:
<body
onbeforeunload="window.location='logout.jsp'">
在logout.jsp里面做注销session的事情。
logout.jsp:
<%
HttpSession
session = request.getSession();
session.invalidate();
%>
相关文章推荐
- 在关闭页面时自动清除Session
- 关于页面跳转同时传参,存于session或拼接与URL中?安全问题?
- 关于关闭浏览器后清除session的问题
- android webview 页面关闭还保持登录态session问题
- 利用Ajax在web页面关闭时清除session
- 解决VS2010打开Web页面时经常由于内存较低而导致VS2010自动关闭的问题
- javascript 关闭页面时清除session
- 解决VS2010打开Web页面时经常由于内存较低而导致VS2010自动关闭的问题
- 浏览器关闭时 清除服务端相应SESSION的问题
- 在关闭页面时自动清除Session cookie,页面缓存
- JAVA Web 安全机制----使用filter验证session用户和页面缓存问题处理
- JSP如何利用session在关闭浏览器时,自动清除缓存
- 导出到excel,如果不保存,会自动关闭页面的问题
- Win10安装火狐浏览器,点击标签页会自动关闭当前页面的问题
- 【Java EE 学习 71 下】【数据采集系统第三天】【分析答案实体】【删除问题】【删除页面】【删除调查】【清除调查】【打开/关闭调查】
- 关于codeigniter即ci的session关闭浏览器不能自动失效的问题
- 页面将在'+num+'秒后自动跳转到百度,并清除session
- java设置cookie,浏览器关闭后cookie随即自动清除问题
- [原创]修复VS2005(Visual Studio2005)调试自动关闭问题[成功方法!]
- 。getCurrentSession是所有的操作都必须开启一个事务在事务中进行,并且事务提交后,session就会自动关闭,不需要再显示关闭。