正如我们所知,Spring Security在基于cookie的会话管理解决方案中提供JSESSIONID,它允许在同一浏览器的多个选项卡中共享相同的JSESSIONID信息。
根据OWASP指南,它不应该分享。
有没有办法在Spring安全性中禁用此共享?
答案 0 :(得分:1)
我的第一个想法是“实际上不可能阻止浏览器这样做。”
但后来我发现了这个
您可以使用HTML5 SessionStorage(window.sessionStorage)。您将生成随机ID并保存在会话存储每个浏览器选项卡中。然后每个浏览器选项卡都有自己的ID。 https://stackoverflow.com/a/11783754/280244
我希望这可以帮助您找到解决方案。