最新shiro发布了一个漏洞,凡是jar包在1.6版本的都会出现该漏洞,要修复该漏洞只能升级到shiro1.6版本
但是如果项目中url使用了;jsessionid这种方式的话 就会导致上传失败,浏览器返回400状态码错误
处理办法:去掉url后面会自动带;jsessionid的内容, 然后把上传的url后面拼接的;jsessionid去掉
修改shiro配置文件
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"> <!-- 去掉url ;jsessionid= --> <property name="sessionIdUrlRewritingEnabled" value="false" /> </bean> <bean id="securityManager" class="org.apache.shiro.web.mgt.DefaultWebSecurityManager"> <!-- 在id="securityManager"下增加该配置 --> <property name="sessionManager" ref="sessionManager"/> </bean>
然后把上传请求后面拼接的";jsessionid=xxx"都去掉,不需要拼接这个