看到使用 session 和 cookies 是如此不安全,是否可以安全地使用 servlet 上下文变量和隐藏表单字段,url 重写来实现与 session 相同的事情?
但它会同样安全和方便吗?为什么不使用这种方法?
我只是想避免饼干!另外,如果我将用户详细信息保存在 servlet 上下文变量中,它会不会与 cookie 一样工作,而只是在服务器端?这就是最终使用cookies的原因,它们是客户端吗?
看到使用 session 和 cookies 是如此不安全,是否可以安全地使用 servlet 上下文变量和隐藏表单字段,url 重写来实现与 session 相同的事情?
但它会同样安全和方便吗?为什么不使用这种方法?
我只是想避免饼干!另外,如果我将用户详细信息保存在 servlet 上下文变量中,它会不会与 cookie 一样工作,而只是在服务器端?这就是最终使用cookies的原因,它们是客户端吗?
不,Cookie 与 Servlet 上下文不同。ServletContext 每个应用程序都是单例的。不是每个用户。您应该避免将 ServletContext 用于用户特定信息,因为您还需要处理用户生命周期,例如在用户空闲时删除用户信息。
如果您不想使用 Cookie,会话跟踪的替代方法是:
但是您可以借助以下属性使 Cookie 得到保护: