基础知识:
Cookie有三种形式:
1.https only: 当服务器从https协议redirect到http协议后,这样的cookie就会失效。
2.http only: 当服务器从http协议redirect到https协议后,这样的cookie就会失效。
3.http and https: 协议切换不会失效
标准J2ee的Session使用的Cookie名称是 JSESSIONID.
Tomcat/JBoss服务器在request.isSecure() == false的时候,建立的是第三种形式的JSESSIONID.
当然reques.isSecure() == true时,建立的是第一种形式的JSESSIONID.
AJP的Connect有两个参数:
secure 默认为false
schema 默认为http
在Apache使用proxy代理到ajp端口,AJP会收到你当前端口的信息,443/80
AJP构造出来的reqeust会根据这两个端口来设置request的secure值,如果是443,request.isSecure()就等于true.
注意:
在AJP收到的端口信息不为0的情况下,无论AJP的Connect配置的secure和schema是什么,他们都是无效的!
这个时候,一旦你的Session是在HTTPS下建立的,那么当你Redirect到HTTP端口,你的Session就会失效.
我不知道有什么方式让Apache发给AJP的端口值为0.所以目前的解决方案是443端口不进行AJP proxy,使用http proxy替代。
分享到:
相关推荐
安全加固Tomca漏洞,禁用AJP接口。
ajp各参数含义,不晓得对与错,希望对大家有帮助啦
Apache JServ协议(AJP)是一种二进制协议,可以将来自Web服务器的入站请求代理到 位于Web服务器后面的应用程序服务器。不建议在互联网上公开使用AJP服务。 如果AJP配置错误,可能会允许攻击者访问内部资源。
jetty-ajp-6.1.6rc0.jar
一直以来,我误解认为启动了n个tomcat,则Session需要同步复制到n个Tomcat中存在,因此在启动了6个以上的Tomcat,性能会大大下降。 而实际情况下,采取Apache 加Tomcat进行负载均衡集群的时候,是可以不用将Session...
主要讲解WIN7中IIS7 如何使用AJP连接tomcat.
Nginx插件,增加对ajp协议的支持,提高效率,已经使用Tomcat 6通过测试。
可以用来验证tomcat-ajp-lfi的漏洞
White bells with pendulums of aniseHarmonies of glass where my lips become puppetsAnd take me to a gentle river of warm currentWhere I dream with seeing your gaze.But I refuse to open my eyes ...
nginx_ajp_module-通过Nginx支持AJP协议代理 概要 http { upstream tomcats { server 127.0.0.1:8009; keepalive 10; } server { listen 80; location / { ajp_keep_conn on; ajp_pass tomcats; } } } ...
apache-tomcat-9.0.12.tar.gz 下载,jdk-8u221-linux-x64.tar.gz 下载,Python-3.7.3.tgz 下载!
CNVD-2020-10487-Tomcat-Ajp-lfi
超智能的tomcat和iis整合工具
apache安装,配置;tomcat下载,配置,设置为服务,有详解
apache服务器和tomcat服务器之间实现URL代理的module.so工具类文件
NULL 博文链接:https://xiaowei-qi-epro-com-cn.iteye.com/blog/2175105
nginx_ajp_module-0.3.0.zip 通过这个模块,Nginx可以直接连接AJP端口。 安装示例: $ wget 'http://nginx.org/download/nginx-1.4.4.tar.gz' $ tar -xzvf nginx-1.4.4.tar.gz $ cd nginx-1.4.4/ $ ./configure --...
nginx_ajp_module-0.3.0.tar.gz 通过这个模块,Nginx可以直接连接AJP端口。 安装示例: $ wget 'http://nginx.org/download/nginx-1.4.4.tar.gz' $ tar -xzvf nginx-1.4.4.tar.gz $ cd nginx-1.4.4/ $ ./configure -...
nginx配置ajp-附件资源