v9上漏洞测试时候出现sessionID回话一致的问题
排查过程:
应用在原始请求和响应的session回话一致,需要中间件去设置,看了下resin中间件的做法应该是每个页面都进行替换session,这个这种做法会消耗性能,如果应用去控制,就在登入这里去控制会跟好处理一些。
解决方案:
在应用加上session.invalidate(); 重新设置一个sessionID
客户要求以前使用resin中间件,这个漏洞问题都是调整中间件设置。需要在金蝶中间件上也设置一下解决问题,resin设置如下:
