【发布时间】:2021-02-25 00:52:29
【问题描述】:
我想将 JSESSIONID cookie 的名称更改为其他名称,以使潜在的攻击者更难猜测我的应用程序正在使用什么技术。
这在带有 Spring Security 的 Spring Boot 中是否可行?我已经能够找到使用 Spring Session 的 Spring Boot 解决方案,但没有 Session 扩展(我没有使用)。
【问题讨论】:
标签: java spring spring-boot
【发布时间】:2021-02-25 00:52:29
【问题描述】:
您可以像这样在web.xml 中配置它:
<session-config>
<cookie-config>
<name>cookie name</name>
</cookie-config>
</session-config>
【讨论】:
-
我想避免使用 XML 配置。如果没有
web.xml,有什么方法可以实现这一点? -
@JakeS。我不知道。
您可以在 application.yml 中更改 cookie 名称
像这样:
server:
servlet:
session:
cookie:
name: TEST_JSESSIONID
或
@Bean
public CookieSerializer cookieSerializer() {
DefaultCookieSerializer serializer = new DefaultCookieSerializer();
serializer.setCookieName("TEST_JSESSIONID");
serializer.setCookiePath("/");
serializer.setDomainNamePattern("^.+?\\.(\\w+\\.[a-z]+)$");
return serializer;
}
https://docs.spring.io/spring-session/docs/current/reference/html5/guides/java-custom-cookie.html
【讨论】: