我正在开发一个单页 Web 应用程序。我已经包含了一个 java 过滤器来拦截 html 页面请求。所以在这个过滤器中,我使用request.getSession(). 然后我JSESSIONID明确设置 cookie,因为我必须HttpOnly在响应标头中设置标志Set-Cookie以防止 XSS 攻击通过document.cookie客户端。
现在登录后我需要会话,所以我正在使用request.getSession(). 并根据HttpServletRequestjavadoc HttpServletRequest javadoc
request.getSession() 返回与此请求关联的当前会话,或者如果请求没有会话,则创建一个。
但是登录后我得到了一个不同的会话。