<< 2007/11/04 | Home | 2007/11/06 >>
PR: 転職    転職    合宿免許    漫画    シルバー    ブライダルエステ    墓地・霊園    葬式   

Struts2のSessionAwareとaction chaining

Struts2ではactionがSessionAwareを実装していると、HttpSessionをマップインターフェースで注入してくれる。これはいいんだけど、セッションフィクスエーション攻撃の防止のために、HttpSession.invalidate()してから、業務処理アクションにchain、そのアクションもSessionAwareって場合に、古いセッションが注入されてしまうようだ。で、IllegalStateException。アプリケーションレベルでは、いい回避策が思い浮かばない...

コメント追加 RSS feed for responses to this blog entry
投稿者 Shisei Hanai : 2007/11/05 13:16:13 JST #
このサイトの掲載内容は私自身の見解であり、必ずしもIBMの立場、戦略、意見を代表するものではありません。
日本アイ・ビー・エム 花井 志生 Since 1997.6.8