Spring Security - 如何禁用同一浏览器的多个选项卡之间的相同会话共享?

Posted

技术标签:

【中文标题】Spring Security - 如何禁用同一浏览器的多个选项卡之间的相同会话共享?【英文标题】:Spring Security - How to disable same session sharing across multiple tabs of same browser? 【发布时间】:2013-10-04 15:15:33 【问题描述】:

我们知道 Spring Security 在 cookie 中提供 JSESSIONID,基于会话管理解决方案,它允许在同一浏览器的多个选项卡之间共享相同的 JSESSIONID 信息。

根据 OWASP 指南,它不应共享。

有什么方法可以在 Spring Security 中禁用此共享?

【问题讨论】:

【参考方案1】:

我的第一个想法是“实际上不可能阻止浏览器这样做。”

但后来我发现了这个

您可以使用 html5 SessionStorage (window.sessionStorage)。您将生成一个随机 id 并保存在每个浏览器选项卡的会话存储中。然后每个浏览器选项卡都有自己的 ID。 https://***.com/a/11783754/280244

我希望这可以帮助您找到解决方案。

【讨论】:

以上是关于Spring Security - 如何禁用同一浏览器的多个选项卡之间的相同会话共享?的主要内容,如果未能解决你的问题,请参考以下文章

如何禁用 Spring Security 的登录屏幕? [复制]

如何使用xml在spring security中禁用注销确认?

如何在 Spring Web App 中临时禁用 Spring Security

如何仅在 localhost 的 Spring Security 中禁用 csrf?

如何通过 XML 配置仅针对特定 URL 模式在 Spring Security 4 中禁用 CSRF?

如何使用Spring Security禁用@Controller中的单个路径授权[复制]