原理
用户进入登录页面后,未登录时。会产生一个session,在用户输入信息后,其session未改变,也就是没新的session生成,原来的也没被销毁,可能会导致用户会话和cookie被窃取和操纵。
检测方法
登录前通过软件工具抓取到的cookie信息与登录后抓取的进行比对,如果一样,可以判断其会话标识未更新
防范建议
始终生成新的会话,供用户成功认证时登录界面和登录成功的界面一致时,修改后台逻辑,在验证登录逻辑的时候,先强制让当前session过期,然后用新的session存储信息,登录界面和登录成功的界面不一致时,可以在登录界面后强制使系统session过期。页面最后添加。
request.getSession();//清空session
Cookie cookie = request.getSession()[0];//获取cookie
cookie.setMaxAge(0);//让cookie过期;
