> uživatele proti zneužití (Session hijacking)? Protože pokud vám jde o
Jo jo - to ma spring security v sobe - posle se username a heslo pres
HTTPS a pokud se spravne zaloguje (resi se to ve filtru) Session se
vytvori nova a zkopiruje data z te stare (tu zahodi). Takze to
jsessionid (cookie nebo param) se zmeni a nahradi za nove, ktere neni
zname.
Ceho sem chtel dosahnout je to, aby kdyz nejakym zpusobem (bookmark)
uzivatel, ktery je authentifikovany vleze zpatky na http a tim posle
sessionId nechrane, mu aplikace naplacala pres ruku napr. 403 Access
Denied a zaroven zinvalidovala jeho session.
A ted mne napada - posila Ajax ktery je z https stranky pres https?
Karel
