WEB安全(六)Session的使用、Session与Cookie的区别

最新推荐文章于 2022-04-26 15:06:11 发布
最新推荐文章于 2022-04-26 15:06:11 发布
阅读量665 收藏 5
点赞数 4
分类专栏: WEB安全 文章标签: web安全 java tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JinYJ2014/article/details/122911594
版权

Session是会话,是用在服务端记录用户信息的数据结构。

Session的使用

1、获取Session对象
	HttpSession s = request.getSession(boolean flag);

注:HttpSession是一个接口。

当flag为true时,根据请求中的SessionId查找对应Session对象,不存在则返回新建Session对象。

当flag为false时,同样根据请求中的SessionId查找对应Session对象,不存在则返回null。

2、常用方法

绑定数据:

    session.setAttribute(String name,Object obj);

根据绑定名获得绑定值:

    Object session.getAttribute(String name);

解除绑定:

    session.removeAttribute(String name);
3、Session的自动销毁

  • Tomcat 服务器默认的Session超时时间是30分钟

  • 可以利用web.xml设置超时时间单位是分钟,设置为0表示不销毁。

<session-config> <session-timeout>20</session-timeout> </session-config>

Session 与 Cookie 的区别

解决HTTP协议自身无状态的方式有cookie和session。二者都能记录状态,前者是将状态数据保存在客户端,后者则保存在服务端。

Session的工作原理

session的基本原理是服务端为每一个session维护一份会话信息数据,而客户端和服务端依靠一个全局唯一的标识来访问会话信息数据。用户访问web应用时,服务端程序决定何时创建session,创建session可以概括为三个步骤:

1、生成全局唯一标识符(sessionid);

2、开辟数据存储空间。一般会在内存中创建相应的数据结构,但这种情况下,系统一旦掉电,所有的会话数据就会丢失,如果是电子商务网站,这种事故会造成严重的后果。不过也可以写到文件里甚至存储在数据库中,这样虽然会增加I/O开销,但session可以实现某种程度的持久化,而且更有利于session的共享;

3、将session的全局唯一标示符发送给客户端。

Cookie的工作原理

无论使用何种服务端技术,只要发送回的HTTP响应中包含如下形式的头,则视为服务器要求设置一个cookie:

Set-cookie:name=name;expires=date;path=path;domain=domain

支持cookie的浏览器都会对此作出反应,即创建cookie文件并保存(也可能是内存cookie),用户以后在每次发出请求时,浏览器都要判断当前所有的cookie中有没有没失效(根据expires属性判断)并且匹配了path属性的cookie信息,如果有的话,会以下面的形式加入到请求头中发回服务端:

Cookie: name=“zj”; Path="/linkage"

服务端的动态脚本会对其进行分析,并做出相应的处理,当然也可以选择直接忽略。

需要注意的是,出于安全性的考虑,cookie可以被浏览器禁用。

jinyangjie0
关注
  • 4
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaWeb(八)Session
Zhangxiangyiyi的博客
08-10 1350
void setAttribute(String name, Object value):用来存储一个对象,也可以称之为存储一个域属性,例如:session.setAttribute(“xxx”, “XXX”),在session中保存了一个域属性,域属性名称为xxx,域属性的值为XXX。,获取名为xxx的域属性;调用这个方法会被session失效,当session失效后,客户端再次请求,服务器会给客户端创建一个新的session,并在响应中给客户端新sessionsessionId;...
WEB安全(五)Session是什么?为什么需要Session
jinyangjie的博客
02-13 1232
Session是什么   Session是会话的意思,一般用在服务端记录用户信息。它的出现弥补了HTTP是无状态协议而导致服务不能标识用户的缺点。   典型的场景是购物车,当你要添加商品到购物车的时候,系统不知道是哪个用户操作的,因为 HTTP 协议是无状态的。服务端给特定的用户创建特定的 Session 之后就可以标识这个用户并且跟踪这个用户了。 为什么需要session   谈及session一般是在web应用的背景之下,我们知道web应用是基于HTTP协议的,而HTTP协议恰恰是一种无状态协议。也就是
Web笔记-session盗用安全问题(Spring Boot获取所有session及提高安全性)
IT1995的博客
02-15 6140
此处本人的过滤代码如下: 仅仅是判断了这个session有没有被记录,有没有attribute! 某些IT论坛,就是这样的,通过session,就可以进行批量帐号操作,发取http协议。 这里演示如下,但我登录了一个号后: 我把这个sessionid放到其他机器上 也是直接被登录的(很多论坛就是这样) 这样就存在很大的安全问题。在此提供一个策略。 这里用...
web前端——sessioncookie
热门推荐
世界中心的专栏
04-12 1万+
参考链接: http://blog.csdn.net/shuaishenkkk/article/details/8634917 http://blog.csdn.net/fangaoxin/article/details/6952954 区别: 1、cookie数据存放在客户的浏览器上,           session数据放在服务器上    2、cookie不是很安全,别人可以分析
JavaWeb07(session&Cookie)
彭于晏的博客
04-03 477
大家好,今天我们来分享一下sessionCookie的知识点,以及如何运用。。 一、session 二、Cookie 使用session对象实现页面访问控制 使用Cookie实现保存已访问的信息 使用application对象实现统计在线人数 ...
express如何使用sessioncookie的方法
08-28
为了解决这个问题,开发者通常使用cookiesession来跟踪用户会话。本文将详细介绍在Express框架中如何使用sessioncookie。 首先,cookie是由服务器发送到客户端(浏览器)的一小块数据,存储在用户的本地设备上...
sessioncookie的内容.doc
最新发布
01-26
**SessionCookie** SessionCookieWeb开发中用于管理用户状态的两种常见技术。它们的主要区别在于数据存储的位置和安全性。 - **Session**: Session将用户的相关信息存储在服务器端,通常是一个键值对的集合...
CookieSession机制.doc
08-26
Session 机制可以与 Cookie 机制结合使用,以提供更加完善的会话跟踪功能。 7. COOKIESESSION 的比较 Cookie 机制和 Session 机制都是常用的会话跟踪技术。但是,它们有着不同的特点和应用场景。Cookie 机制...
webapi跨域使用session的方法示例
01-20
但是……如果其中一个网站需要用到cookie或者session的时候, Access-Control-Allow-Origin如果还是设置成“*”就会报错,当然是前端报错。。。数据返回还有cookie/session都还是能存,但是报错就不爽了啊。 于是,...
Java Web学习之CookieSession的深入理解
08-27
"Java Web学习之CookieSession的深入理解" 以下是Java Web学习之CookieSession的相关知识点: 一、Cookie机制: * Cookie是保存在客户端的临时文件夹,用于保存用户状态信息。 * Cookie机制采用的是在客户端...
java web项目Session获取不到
lady132的博客
02-27 6271
在servlet类中对Session进行了设置 但当servlet跳转到页面时 页面获取不到Session!!! 关于session的生命周期 Session保存在服务器端。Session在用户第一次访问服务器的时候自动创建。需要注意只有访问JSP、Servlet等程序时才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session。如果尚未生成Session,也可以使用re...
CookieSession的原理和应用以及区别
ouo1231的博客
04-26 2073
CookieSession
web接口响应时间标准_新手入门之Web性能测试
weixin_39760650的博客
12-06 1864
我们都知道,Web系统是一个功能复杂、结构庞大的应用系统。由此,在做Web系统的测试时,我们需要做的测试种类非常多,涉及面也非常广,比如:并发测试、压力测试、负载测试、稳定性测试、配置测试、网络测试以及大数据量测试,等等。今天,我们主要为测试新手们提供一些Web性能测试的内容,希望通过回顾知识点+经验总计的方式,能让大家在做Web系统测试时上手更快。针对服务器而言,性能测试主要关注响应时间、系统吞...
Python接口自动化-接口基础(一)
weixin_42485712的博客
01-27 2803
——————·今天是2020年第27天·——————这是ITester软件测试小栈第92次推文一接口的定义1.接口是前后端沟通的桥梁,是数据传输通道,包括外部接口、内部接口,内部接口又包...
JavaWeb(HttpSessionCookie)学习笔记一
weixin_33744141的博客
04-02 104
cookie的作用域 cookie只能够传到当前目录以及以下的目录,不可以传到上一目录。 HttpSession的创建 HttpSession的生命周期: 1).什么时候创建HttpSession对象①.对于JSP:是否浏览器访问服务端的任何一个JSP,服务器都会立即创建一个HttpSession对象呢?不一定。 若当前的JSP是客户端访...
JavaWeb中的Session会话
qq_48569009的博客
04-03 1844
SessionJavaWeb的一种约束是一个接口,session就是会话,是用来维护一个客户端和服务器之间进行关联的技术。每个客户端都有自己的一个session会话。【在打开浏览器打开一个网站之后,知道关闭浏览器。这期间就叫做会话】 如何创建Session和获取session: 创建session使用方法request.getSession(); 获取session使用方法request.getSession();方法。 【第一次调用request.getSession();方法的时候是
Java.WebSession —— 针对浏览器不支持Cookie的情形,Session禁用Cookies
王晓斌的专栏
10-07 9268
重写URL跟踪Session
web 项目获取当前session所有的session 用户列表
快乐的代码狗
11-12 9002
@Configuration public class HttpSessionConfig { private static final Map&lt;String, HttpSession&gt; sessions = new HashMap&lt;&gt;(); public List&lt;HttpSession&gt; getActiveSessions() { ...
JAVA_WEB 如何根据sessionID获取session解决方案
心有猛虎 细嗅蔷薇
11-29 5630
一、写在前面 最近在做一个项目的时候,本来是想通过session来存一些数据的,但是,发现当两次访问的方法不同时,后台的session是不一样的,也就是说sessionId,不一致,所以导致的问题就是:当我需要从session取值的时候,总是出现取不到值的情况,后面也想过用redis,但是也被坑了。 后来,想到就是通过和前端沟通,通过sessionId和前端进行交互,来保证每一次的sessio...
CookieSession的原理与安全对比
"本文将深入探讨cookiesessionWeb开发中的运用,分析它们的特性、区别以及使用场景。" 在Web应用程序中,cookiesession是两种关键的技术,用于管理用户会话状态,确保用户在访问网站时能保持登录状态并个性化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值