本文共 648 字,大约阅读时间需要 2 分钟。
我知道以下是在Java中维护或会话跟踪的方法,但正在寻找一个好的方法
>网址改写
>隐藏的表单字段
>饼干
>会话对象,例如setAttribitute()和session.getAttribute()
如果客户端浏览器阻止了接受和存储cookie,则后两种方法无效.在隐藏表单字段中,我需要在表单的每一页中传递隐藏值.因此,假设我只是使用response.sendRedirect()隐藏的表单字段是没有用的.其余的是URL重写,我将在URl中传递JsessionID.因此,我的问题是知道sessionID不是未经授权的人可以访问页面.
例如,登录,注册,发送共有3个页面.登录后用户可以注册和/或发送.所以如果有人知道sessionID不能直接进入注册/发送页面.如果是,请告诉我如何禁止这个
解决方法:
从Servlet 3.0(从Apache Tomcat 7开始)开始,如果您使用SSL,则可以将应用程序配置为基于SSL会话ID跟踪会话.缺点是所有内容都必须通过SSL.优点是会话与SSL连接紧密绑定.只有与具有正确SSL会话的服务器建立连接的用户才能访问该会话.即使攻击者知道会话ID,他们也无法访问该会话.
请注意,这种形式的会话跟踪是使用最少的一种,因此它可能没有像更常用的cookie和URL重写机制那样经过严格的测试.
标签:servlets,session,java,jsp
来源: https://codeday.me/bug/20191122/2060993.html
转载地址:https://blog.csdn.net/weixin_32825467/article/details/115080007 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!