DWRSESSIONIDブラウザによって生成されDWR、ブラウザに送信されるのは何に使用されるのか疑問に思っていましたか? HTTPSession に関連付けられていますか? JSESSIONID状態を維持するために使用される場合、この Cookie を作成する実際的な理由はありません。
質問する
4694 次
1 に答える
3
DWRSESSIONID Cookie は、 CSRF 攻撃から保護するために DWR 3.0 に追加されました。サーバー側の DWR クラスによって最初に呼び出しが行われたときに設定されますBatch.java。後続の呼び出しではBaseDwrpHandler.java、CSRF 攻撃をチェックするために使用されます。HttpSession がない場合でも使用できるため、JSESSIONID はありません。DWR-Users メーリング リストの Mike Wilsonによる説明:
DWR 3.0 モデルでは、独自のセッション Cookie (「DWRSESSIONID」) を作成するため、アプリケーションが HttpSession を使用しない場合でも、CSRF チェックオフのベースとなるセッション Cookie が常に存在します。
于 2012-05-14T16:48:53.747 に答える