websphere-8 - 限制 ibm_security_logout?logoutExitPage 参数
问题描述
我正在开发在 IBM Websphere 8.0 上运行的应用程序。每当我 appendibm_security_logout?logoutExitPage=<any other website or domain>时,会话就会终止,并且用户会被重定向到另一个网站。
我对会话被破坏很好,但我不希望用户被重定向到logoutExitPage参数后提到的任何其他网站。
谁能帮我解决这个问题?
如果需要更多信息,请告诉我。
解决方案
确保您应用了最新的修订包。这在 8.0.0.1 中得到了修复,它只允许来自同一网站的页面。如果您需要访问外部站点,则必须配置以下参数:
默认情况下,注销页面的 URL 应指向发出请求的主机或其域。否则,将显示通用注销页面。如果您需要将此 URL 指向不同的主机,则需要
com.ibm.websphere.security.logoutExitPageDomainList在 security.xml 文件中设置属性,其中包含允许用于注销页面的 URL 列表。com.ibm.websphere.security.allowAnyLogoutExitPageHost您可以通过将该属性设置为 true来选择允许使用任何注销退出页面。将此属性设置为 true 可能会使您的系统面临潜在的 URL 重定向攻击。
有关更多详细信息,请查看自定义 Web 应用程序登录
推荐阅读
- kubernetes-helm - 是否可以在 helm test 中引用子图?
- python - 我的 pydev 模板完全为空,并且“新建”按钮无效。我怎样才能解决这个问题?
- visual-studio-code - Visual Studio 代码扩展中的错误处理
- python - Pandas:如何为 groupby 获取具有最大时间戳的行
- relay - 是否可以从联合模块传播 Relay Modern 片段?
- python - 无法解析模块“imaplib2”没有属性“IMAP4_SSL”
- reactjs - 使用参数使 NextJS 将动态路由映射到页面
- python - 修剪模型和原始模型的测试精度相同
- javascript - Microsoft Edge 在 RTL 语言(如希伯来语)中放错括号
- angularjs - Angular SelectionModel 不与选择/取消选择方法同步