security - HttpSession 安全

Question

servlet HttpSession 存储在哪里？

将敏感信息存储在 HttpSession 属性中是否安全。

用户可以恶意修改会话属性吗？

Answer 1

HttpSession 的存储位置取决于应用服务器的实现和部署者选择的配置。通常它存储在内存中，但许多应用程序服务器允许您将它持久保存在数据库中。在任何情况下，会话都存储在服务器中而不是客户端中。

如果作为用户您的意思是客户端，那么他/她不可能修改它，因为它存储在服务器端。