Ранее мы использовали JBoss 7.1.2 и использовали поведение, которое JSESSIONID помещает в URL как резерв, если файлы cookie не принимаются или если cookie JSESSIONID отсутствует в запросах.Конфигурирование WildFly/Undertow для размещения JSESSIONID по URL-адресу, если файлы cookie не принимаются
После миграции на WildFly 8.2.0/Undertow 1.1.0 этот URL-адрес переписывать не происходит.
Можно ли настроить WildFly/Undertow для включения JSESSIONID в URL-адрес в качестве резервной копии? Мы знаем о возможности поставить сессионный-конфигурации в web.xml
, например .:
<session-config>
<tracking-mode>URL</tracking-mode>
</session-config>
Но мы хотим только JSESSIONID на URL-адресов в качестве решения резервного.
Помните, что при установке сеанса в URL-адресе возникают некоторые проблемы с безопасностью. Посмотрите на топ-10 OWASP для рекомендаций. Посмотрите на тему A2 и фиксация сеанса. – mvermand