Odoo is the world's easiest all-in-one management software.
It includes hundreds of business apps:

ลูกค้าสัมพันธ์
e-Commerce
ระบบบัญชี
สินค้าคงคลัง
PoS
โปรเจกต์
MRP

All apps

All Posts คน เหรียญรางวัล

แท็ก (View all)

odoo accounting v14 pos v15

เกี่ยวกับฟอรั่มนี้

ช่วยเหลือ

Can i assign my own session0|sessionid or cookie using JSON-RPC?

assign session cookie json

2 ตอบกลับ

18208 มุมมอง

ziamie

I've been able to login my credentials by just using this kind of address in the browser "h t t p s://localhost:8080/web/webclient/login?db=MyDB&login=myusername&key=mypassword&session_id=994f75a93ac949489423368d0e528109" in which the value for the session_id is a result from connecting via JSON-RPC in C#.

However, I think no cookie is set because when I try to browse just the localhost:8080 from a different tab I am redirected to the login page and not the opened home page of the account though I have not yet logout.

I want to ask if it is possible to assign my own value for session0|sessionid or cookie using JSON-RPC in C#?

Mohammad Alhashash

คำตอบที่ดีที่สุด

The web module looks for the session id in cookies variable sid. If it is not set, it looks for the request variable sid. So sending sid in request URL works just like in cookie.

The session cookie is only set by the request handler only if the response already has set_cookie which happens at login. Since you are already logged-in for this session by the JSON-RPC client, the session cookie will not be set.

Check the method Root.dispatch() in the web module.

ziamie

ผู้เขียน

Is there a way so that i can set a cookie using the request URL?

Mohammad Alhashash

You can create module or wsgi middle-ware that adds any cookie. The request dispatcher will always recreate the session cookie when the response has cookies. You may also modify Root.dispatch() to add response.set_cookie('sid', session.sid) in case of sid is read from url parameter.

Mohammed Mansour

@Mohammad Alhashash your answer was (You may also modify Root.dispatch() to addresponse.set_cookie('sid', session.sid) in case of sid is read from url parameter.) and this gives the attacker the opportunity to use the session fixation method for hacking the system users by setting sid="WHATEVER_VALID_SESSION_ID" in the url.

สนุกกับการพูดคุยนี้ใช่ไหม? เข้าร่วมเลย!

สร้างบัญชีวันนี้เพื่อเพลิดเพลินไปกับฟีเจอร์พิเศษและมีส่วนร่วมกับคอมมูนิตี้ที่ยอดเยี่ยมของเรา!

ลงชื่อ

Related Posts	ตอบกลับ	มุมมอง
Odoo(OpenERP) Cookie Session ID Issues ? session cookie hack session_id	0 มี.ค. 15	7738
Cookies validity date value is too long, it is a security issue. How can it be reduced? chrome session cookie session_id cookies	2 ก.ย. 20	7117
Server Action to correct POS session opening and closing date session	1 พ.ค. 25	2278
How do I get the Website Cookie bar to popup only once at the home page? cookie	1 ม.ค. 23	3280
session timeout odoo 13 session	0 ก.พ. 22	4085

คำถามนี้ถูกตั้งค่าสถานะ

สนุกกับการพูดคุยนี้ใช่ไหม? เข้าร่วมเลย!