Недавно мы удалили jsessionid из URL-адреса, чтобы управлять сеансом на основе файлов cookie, чтобы предотвратить «атаку захвата сеанса».
Но мы обнаружили, что первый URL-адрес запроса всегда имеет jsessionid, когда файлы cookie включены, а следующий URL-адрес запроса не имеет jsessionid.
используя jsessionid из первого URL-адреса, мы могли бы напрямую обращаться к другим страницам в рабочем процессе.
Вопрос: есть ли какая-либо уязвимость в системе безопасности, открывающая jsessionid только при первом запросе?
Существует решение для удаления jsessionid из первого запроса, но я хотел проверить, действительно ли он уязвим для внесения изменений.
спасибо J
РЕДАКТИРОВАТЬ: я прояснил свои сомнения. Спасибо за ответы.