Temos um aplicativo J2EE (executando em-tosse- Somente IE) que usa JSESSIONID para gerenciar o estado da sessão entre cliente e servidor. Alguns de nossos clientes usam um aplicativo da web de terceiros (https://mdoffice.sentara.com/) no qual o método de carregamento Javascript do cliente chama:

 document.execCommand("ClearAuthenticationCache");

Isso esmaga nosso cookie JSESSIONID no navegador e, portanto, faz com que o servidor de aplicativos veja as solicitações subsequentes da janela do cliente IE como uma sessão inválida ou com tempo limite esgotado e o usuário seja expulso. Nosso servidor é o OAS / OC4J, mas duvido que isso importe: o mesmo comportamento básico ocorre se eu clicar no URL acima enquanto estiver conectado ao meu banco on-line.

Ao tentar pesquisar isso, descobri que a maioria das pessoas está interessada em duplicar esse comportamento em navegadores que não sejam o IE. Estou interessado em comoproteger contra isto. Verificamos que nossos cookies de sessão têm escopo de domínio, mas o comando acima parece não respeitar isso. Temos uma solução alternativa esfarrapada pela qual lançamos o IE com um-noframemerging argumento. Isso é feio e também acaba atrapalhando nossa lógica que tenta limitar o cliente a um único login.

Não consigo encontrar muita utilidade no MSDN, mas este artigo (http://blogs.msdn.com/b/ieinternals/archive/2010/04/05/understanding-browser-session-lifetime.aspx) deixa claro que o comando acima "... limpa os cookies da sessão ... paraTUDO sites em execução na sessão atual ".

Alguém sabe de:

Obviamente preferível: Uma maneira de proteger nossos preciosos cookies de sessão do ClearAuthenticationCache?Esperança: uma alternativa menos agressiva ao ClearAuthenticationCache que possamos dizer aos nossos clientes para se comunicarem com terceiros? (É claro, eles teriam que fazer isso com terceiros que causassem esse problema. Atualmente, há apenas um.)

Obrigado por qualquer ajuda!