我知道以下是在Java中维护或会话跟踪的方法,但正在寻找一个好的方法

>网址改写

>隐藏的表单字段

>饼干

>会话对象,例如setAttribitute()和session.getAttribute()

如果客户端浏览器阻止了接受和存储cookie,则后两种方法无效.在隐藏表单字段中,我需要在表单的每一页中传递隐藏值.因此,假设我只是使用response.sendRedirect()隐藏的表单字段是没有用的.其余的是URL重写,我将在URl中传递JsessionID.因此,我的问题是知道sessionID不是未经授权的人可以访问页面.

例如,登录,注册,发送共有3个页面.登录后用户可以注册和/或发送.所以如果有人知道sessionID不能直接进入注册/发送页面.如果是,请告诉我如何禁止这个

解决方法:

从Servlet 3.0(从Apache Tomcat 7开始)开始,如果您使用SSL,则可以将应用程序配置为基于SSL会话ID跟踪会话.缺点是所有内容都必须通过SSL.优点是会话与SSL连接紧密绑定.只有与具有正确SSL会话的服务器建立连接的用户才能访问该会话.即使攻击者知道会话ID,他们也无法访问该会话.

请注意,这种形式的会话跟踪是使用最少的一种,因此它可能没有像更常用的cookie和URL重写机制那样经过严格的测试.

标签：servlets,session,java,jsp

来源： https://codeday.me/bug/20191122/2060993.html