qual é a vulnerabilidade de ter Jsessionid somente na primeira solicitação
Recentemente, removemos o jsessionid do URL e fizemos o gerenciamento de sessões com base em cookies para impedir o "ataque de seqüestro de sessão"
Porém, descobrimos que o URL da primeira solicitação sempre tem jsessionid quando os cookies estão ativados e o URL da solicitação subsequente NÃO possui jsessionid.
usando o jsessionid do primeiro URL, podemos acessar diretamente outras páginas do fluxo de trabalho
Pergunta: existe alguma vulnerabilidade de segurança que expõe o jsessionid somente na primeira solicitação?
Existe uma solução para remover o jsessionid da primeira solicitação, mas queria verificar se é realmente vulnerável exigir as alterações
obrigado J
Edição: Eu tenho minha dúvida esclarecida. Obrigado pelas respostas.