ID da sessão reutilizado após a chamada para invalidar
Eu herdei um aplicativo JSP bastante antigo (JDK 1.3.1_15) e estou tentando corrigir um furo de fixação da sessã
Estou invalidando com êxito a sessão atual após a autenticação usandoHttpSession.invalidate()
no entanto, quando a nova sessão é criada, o ID da sessão antiga é reutilizad
<%
// login.jsp
if (authenticated) {
request.getSession().invalidate();
// create new session and store data
HttpSession session = request.getSession();
session.putValue(...);
// etc
response.sendRedirect("logged-in.jsp");
return;
}
%>
Eu posso ver a nova atribuição de sessão no meu monitor HTTP, apenas usando o mesmo número novament
-- Initial request response --
HTTP/1.1 200 OK
Set-Cookie: JSESSIONID=6a303082951311647336934;path=/
-- login.jsp request response --
HTTP/1.1 302 Moved Temporarily
Location: http://example.com/logged-in.jsp
Set-Cookie: JSESSIONID=6a303082951311647336934;path=/
Antes de mim usandosession.invalidate()
o segundoSet-Cookie
cabeçalho de resposta não estava present
Alguém tem algum conselho sobre como gerar um novo ID de sessão? Não estou muito familiarizado com o JRUN4, mas vasculhar a documentação de configuração não revelou nad