想知道DWRSESSIONID由浏览器生成DWR并发送到浏览器的用途是什么?它与 HTTPSession 相关联吗?JSESSIONID当用于维护状态时,没有看到创建此 cookie 的任何实际原因。
问问题
4694 次
1 回答
3
DWRSESSIONID cookie 在 DWR 3.0 中添加以防止CSRF 攻击。它在服务器端 DWR 类第一次进行调用时设置Batch.java。在随后的调用中,它用于BaseDwrpHandler.java检查 CSRF 攻击。即使没有 HttpSession 也可用,因此没有 JSESSIONID。Mike Wilson 在 DWR-Users 邮件列表中解释道:
在 DWR 3.0 模型中,我们创建了自己的会话 cookie(“DWRSESSIONID”),因此即使应用程序不使用 HttpSession,也总会有一个会话 cookie 来检查 CSRF。
于 2012-05-14T16:48:53.747 回答