[Seasar-user:7187] Re: セッション情報のurlへの埋め込み
oshima
[E-MAIL ADDRESS DELETED]
2007年 4月 11日 (水) 17:41:39 JST
ひがさま
おおしまです。
早速のご回答有り難うございました。
すみません。
問題を誤ってました。ロードバランサーで振り分けのキーではありませ
んでした。
以前使っていたロードバランサーのsslアクセラレータが
Cookieを
復号してくれなくて、サーバー側でセッションを取れないという現象
に遭遇したことがあり、やむを得ずURL rewriting を使ったこと
があり
同様の現象に遭遇した場合の担保のためにお聞きしました。
> PCでURLにセッションIDを埋め込むのは、セッションハ
> イジャックの
> 危険性が増えるので、できる限り避けたほうがよいと思います。
ご指摘有り難うございます。
これは理解しています。
> 基本的にこの辺の仕様は、Servlet APIで決められているので、
> アプリケーションサーバ任せです。
WebContainerはtomcatでテストしていますのでtomcatの
Contextタグ
のcookies="false"でURL rewritingが効くことを確認しま
した。
どうも有り難うございました。
以上
On 2007/04/11, at 15:36, Yasuo Higa wrote:
> ひがです。
>>
>> おおしまです。
>>
>> 早速のご回答有り難うございます。
>> レスポンスが早いですね。
>>
>>> クッキーが使えないブラウザ(たとえば携帯)でアクセス
>>> すると
>>> 自動的にクッキーにセッションidが埋め込まれるはずです。
>>
>> 開発予定のシステムでは、PCサイトもありurl埋め込みの
>> jsessionidを
>> ロードバランサーで振り分けのキーにします。
>> つきましては、cookieが使える使えないにかかわらずurl
>> 埋め込みにしたいのですが
>> 設定で常にurlに埋め込む方法はありますか?
>>
> 基本的にこの辺の仕様は、Servlet APIで決められているので、
> アプリケーションサーバ任せです。
> いまどきのロードバランサーなら、クッキーも
> みて振り分けてくれるのではないでしょうか。
>
> PCでURLにセッションIDを埋め込むのは、セッションハ
> イジャックの
> 危険性が増えるので、できる限り避けたほうがよいと思います。
>
> --
> Yasuo Higa
> [E-MAIL ADDRESS DELETED]
> _______________________________________________
> Seasar-user mailing list
> [E-MAIL ADDRESS DELETED]
> https://ml.seasar.org/mailman/listinfo/seasar-user
>
Seasar-user メーリングリストの案内