Modificamos nuestra gestión de sesión de cookie basada en reescritura de URL. Al hacer esto, el ID de sesión se transmite como parte de la URL.
Ahora hay un problema de vulnerabilidad, donde quien use esta URL podrá iniciar sesión en el sistema.
Para resolver este problema, hemos hecho lo siguiente
-
Se ha creado un Oyente de sesión HTTP para mantener la lista de HTTP sesiones El oyente reacciona en los eventos cuando se crea la sesión o destruido.
-
Se ha creado un filtro de sesión para verificar la sesión HTTP y verificar Su integridad contra los atributos de la Solicitud HTTP. Sesión será Invalidado en el caso Solicitar atributos (identificando al cliente origen) no coinciden con los atributos originales almacenados con la sesión. (a bloquear el intento de secuestro de sesión)
Sin embargo, creo que esto tiene una brecha cuando intentas acceder a través de un proxy, etc.
¿Hay alguna otra solución efectiva para esto?
Tampoco podemos usar bibliotecas de terceros para resolver esto debido a la naturaleza del producto.