getSessionこのメソッドを使用すると、既存のセッションでそれを見つけることができれば、サーバー上のセッションを見つけるために、バンドJSESSIONID内部クッキーを超えるパスに基づいて、ロジック、内部で、のgetSessionは、この既存のセッションを返し、もし私は新しいセッションを作成し、戻って返すためにそれを見つけることができませんでした。メッセージのgetSessionロジック内にある
本発明のgetSessionそのような方法の一つの論理に応じて総セッション固定攻撃と呼ばれています。
防止セッション固定攻撃は、falseに設定されている、あなたはセッションの作成に戻っていない空のデフォルトのセッション見つけることができない
セッションが空でない場合は、セッションが失敗してみましょう。
trueに、すでに前回のセッション失敗アウトの上に次のセットで。だからここに再び利用できるのないコールsesionセッションがありません。これは、新しいセッションを作成するために再び戻りました。あなたが成功した後にログインするたびにそれ。あなたのセッションおよび以前のセッション内の情報は、セッションではありません。
あなたがコードを書くのであれば、あなたは秋のセッション固定攻撃を避けることができます。
リターンのパラメータ内部チェックのクッキー
通过jSessionID和服务器上的session绑定起来的。
path属性和这里的域名加路径合起来 就是path属性。当你访问一个什么样的路径的时候,我的cookie会被携带发送过去。
域名是分级的,一级域名二级域名等 如果在域名这里填写的是顶级域名,那么访问二级域名的时候 这回带上cookie。
如果域名这里你明确的写的是www.imooc.com 那么就只有访问www的才会带上这个cookie。你放img.imooc.com就不会发出去这个cookie
路径如果写的 /a ,那么只有访问带有/a的路径才会带上cookie
Secure是说我当前存起来的这个cookie只有我在用https这个链接去发请求的时候,才能被发出去。如果不是https的 cookie就不要发。这也是为了保证一个安全性。
httpOnly就是说当前这个请求不能被javascript脚本来读,。只能被浏览器自身来发送。不能通过写一个js来读到这个cookie。这也是为了防止跨站脚本攻击。
到期谁建是有效期是多少。默认就是浏览回话结束。如果你把有效期设置成-1的话。cookie就立马失效了。
结束