Мое приложение работает в jboss 7, а сеансы поддерживаются с помощью файла cookie jsessionid, который отмечен как безопасный, так и httponly. Но даже при этом, если я могу получить значение jsessionid cookie любого пользователя, я смогу подменять его как пользователь. Есть ли способ предотвратить это?JsessionId spoofing - Jboss 7
Когда у вас есть сеанс для пользователя на вашем сервере, вам нужно выполнить запрос от пользователя к его сеансу, это цель файла cookie JSESSIONID.
Вот почему вам необходимо защитить его, добавив «безопасный» (этот файл cookie будет отправлен только через https, чтобы предотвратить сетевое обнюхивание) и «HttpOnly» (чтобы отключить доступ к этому файлу cookie с помощью кода javascript клиента).
Вы можете добавить другие способы смягчения, проверив изменение IP-адреса пользователя (но нарушит изменение 3G/WIFI для законных пользователей), строку пользовательского агента, ... Но на практике, если у вас есть доступ к файлу cookie JSESSIONID вы также можете получить доступ к этим данным.
Вы посмотрите на управление сеансами OWASP Шпаргалка для более может: https://www.owasp.org/index.php/Session_Management_Cheat_Sheet