Tomcat之Session和Cookie大揭密(四)

最新推荐文章于 2024-02-16 21:14:15 发布
最新推荐文章于 2024-02-16 21:14:15 发布
阅读量252 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guo_yang/article/details/82186088
版权
四、随心所欲使用Session

(1) 使用url传递session id

    在上面讲过,在默认情况下session是依靠客户端的cookie来实现的。但如果客户端浏览器不支持cookie或将cookie功能关闭,那就就意味着无法通过cookie来实现session了。在这种情况下,我们还可以有另一种选择,就是通过url来传递session id。

    对于Tomcat来说,需要使用jsessionid作为key来传递session id。但具体如何传呢?可能有很多人认为会是如下的格式:

http://localhost:8080/test/MyJSP.jsp?jsessionid= D5A5C79F3C8E8653BC8B4F0860BFDBCD

    但实验上面的url并不好使。其实最直接的方法我们可以看一下Tomcat的源程序是如何写的,首先下载tomcat的源程序,然后找到CoyoteAdapter.java文件,并打开。在其中找到parseSessionId方法,这个方法是用来从url中提取Session id的。我们可以不必了解这个方法的全部代码,只看一下开头就可以。代码片段如下:

     ByteChunk uriBC = req.requestURI().getByteChunk();
     int semicolon = uriBC.indexOf(match, 0, match.length(), 0);
     if (semicolon > 0) {...}

    上面代码中的uriBC就是请求的url,第二行在这个url中查找match字符串,再在CoyoteAdapter.java中查找一个match字符串,match变量的初值如下:

    private static final String match =
        ";" + Globals. SESSION_PARAMETER_NAME + "=";

    从上面代码可以看出,match开头是一个";"字符,而SESSION_PARAMETER_NAME是一个常量,值就是"jsessionid",因此可以断定,MyJSP.jsp后跟的是";",并不是"?",因此,正确的url如下:
 
http://localhost:8080/test/MyJSP.jsp;jsessionid= D5A5C79F3C8E8653BC8B4F0860BFDBCD

    通过使用上述方法甚至可以在不同的机器上获得同一个session对象。

    在CoyoteAdapter.java文件中还有一个parseSessionCookiesId方法,这个方法将从HTTP请求头中提取session id。我们中postParseRequest方法中可以看到将调用的parseSessionId方法,在最后调用了parseSessionCookiesId方法,因此,我们可以断定,tomcat将考虑url中的session id,然后再读取Cookie字段中的session id。还有就是在postParseRequest方法的最后部分有一个response.sendRedirect(redirectPath);,在调完它后,就直接return了。而没有执行到parseSessionCookiesId,因此,使用重定向并不能通过HTTP头的cookie字段共享session。只能通过url来传递session id。

(2) 将tomcat的cookie支持关闭

如果我们只想使用url来支持session,可以直接将tomcat的cookie功能关闭。我们可
以修改conf中的context.xml文件,加入一个cookies="false"即可,内容如下:

<!-- The contents of this file will be loaded for each web application -->
<Context cookies = "false">
... ...
... ...
</Context>

    重启tomcat后,就算客户端支持cookietomcat也不会考虑HTTP请求头的cookie字段。

(3)  IE中控制 Cookie

    IE中也可以将Cookie关闭,启动IE,在工具->Internet选项->稳私->高级中选中"覆盖自动cookie处理"选项。并按图1选择:



                                   图1

    对于下面的选项"总是允许会话cookie",如果不选,在本机将允许会话cookie,也就是通过localhost访问,在远程将不允许会话cookie。我们也可以通过在工具->Internet选项->稳私->站点来对某个网站来允许和拒绝cookie。
guo_yang
关注
Spring Boot入门教程(五十六): Spring Session
人不风流枉少年
04-11 1万+
一:Web容器Session HTTP是无状态协议,服务器端要想记住客户端的状态需要通过SessionCookie来完成。 Session是由Web服务器端(Tomcat)维护,Cookie是由客户端(浏览器)维护,浏览器每次请求都会自动携带Cookie信息,当服务器端首次往session中存储值时(session.setAttribute(name, value)),服务器端(Tomcat)会...
从零开始,学会Python爬虫不再难!!! -- (3)揭秘:我是如何绕过登录验证的 丨蓄力计划
看,未来的博客
04-13 1949
文章目录登录验证的背后客户端和服务端请求响应的关系认识sessioncookiecookiesession开始操作 上图已魔法反爬,哈哈哈,想爬就爬呗,不拦着。 登录验证的背后 打开一个网页,发现它需要登录,有可能还有各种各样的验证码。 输入账号密码,或者扫码之后登录上网页,解锁更多新功能。 只要我们不关闭网页,这个登录状态就会被保持着。 这个场景都不陌生吧。 我们关闭浏览器,再次打开浏览器,会发现有的网页依旧保持着登录状态,比如说CSDN,而有的网页已经被退出登录了,想再次进入就需要重新登录,这样的.
Tomcat中使用cookie
yy310585的博客
03-05 1382
Tomcat中使用cookie cookie是用来处理客户端发送不同请求的时候如何使用相同的参数信息 cookie的使用 创建cookie对象 Cookie cookie = new Cookie(“name”, name); 在response对象中添加cookie response.addCookie(cookie); cookie设置生命周期,单位是秒:cookie.setMaxAge(3243600); 给cookie设置固定路径(只有在请求设置的路径才发送响应的cookie) 获取coo
使用 Set-Cookies HttpOnly & Secure标志保护 Tomcat
allway2的博客
08-02 1742
根据MicrosoftDeveloperNetwork的说法,HttpOnly&Secure是Set-CookieHTTP响应标头中包含的附加标志。在Set-Cookie中使用HttpOnly有助于减轻最常见的XSS攻击风险。这可以由开发人员在应用程序中完成,也可以在Tomcat中实现以下内容。作为最佳实践,在修改之前备份配置文件,如果可能在非生产环境中进行测试,以确保它不会破坏应用程序。让我们看看如何实现这一点。...
Tomcat中Set-Cookie的Domain错误导致无法登录问题
踏着键的威威猫
08-15 3813
项目部署到生产上后,发现无法保持登录状态,每次一登录成功后进入页面又跳转至登录页。检查请求 Response Headers 发现 Set-Cookie 的 Domain 指向了另外一个地址,原来是 Tomcat Context 配置中的 sessionCookieDomain 写错了地址,改正即可。配置如,.example.com 会对 www.example.com 有效,具体规则可参考下面链
Tomcat源码阅读之CookieSession
程旭元的博客
08-31 909
Http协议是一种无状态协的请求/响应协议。服务器处理来自客户端的请求,然后向客户端回送一条响应。Web服务器几乎没有什么信息可以用来判断是哪个客户端发送的请求,也无法记录来访客户端的请求序列。 Cookie的作用就是识别不同的客户端,实现持久会话。Cookie的基本思想就是让浏览器持有一组服务器特有的信息,每次访问服务器时都将这些信息提供给它。 接下来我们看看Cookie是如何工作的。客户端第
升级Tomcat 8.5.6为什么删除Cookie的方法在IE上不再有效
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
01-11 191
这是我之前在自己公众号曾经记录过的一个问题。 1.问题是什么? Cookie里面同一个domain的Ticket有两个,一个是null,另一个是有效值,导致当取到ticket为null的值时,验证ticket无效,无法登陆。 2.原因是什么? 升级Tomcat 8.5.6后,IE上删除Cookie的方法不再有效。试图通过SetMaxAge为0去删除Cookie,但是IE 并不认识MaxAge,之前的Tomcat版本可以帮忙解决这个问题,遇到MaxAge替换成IE认识的Expi
Tomcat官方的集群(Cluster)配置说明
Tomcat那些事儿
07-11 265
我们都知道,为了应对大量的请求,单台的Tomcat不能满足的时候,需要采取一系列的措施,例如分流、集群等。进行Tomcat集群的时候,最需要关注和实现的,是多个Tomcat实例间的Ses...
Java Web技术内幕:揭秘大型互联网公司开发实践
SessionCookie是管理用户状态的重要手段,而Tomcat和Jetty是常见的Java应用服务器,Spring容器提供依赖注入和面向切面编程,极大地简化了企业级应用的开发。iBatis作为持久层框架,简化了数据库操作,Velocity则是...
揭秘Web服务器与Servlet工作原理:关键概念解析
本文将深入探讨Web服务器、应用服务器以及web容器的工作原理,重点关注Java Servlet API的关键组成部分,如ServletContext、ServletRequest、ServletResponse和Session。首先,我们将澄清这三者的区别和联系: 1. *...
关于禁用Cookie的问题以及解决办法
热门推荐
C.
09-10 3万+
CookieSession,一般认为是两个独立的东西,Session采用的是在服务器端保持状态的方案,而Cookie采用的是在客户端保持状态的方案。但为什么禁用Cookie就不能得到Session呢?因为Session是用Session ID来确定当前对话所对应的服务器Session,而Session ID是通过Cookie来传递的,禁用Cookie相当于失去了Session ID,也就得不到S
Tomcat禁用Session
沧海桑田的博客
09-14 4154
1.禁用session的必要性 I.请求和响应过程中session对象相关操作 Tomcat在首次接收客户端请求时会自动在JVM中创建session对象 session的主要作用是标记和保持会话,每个session有唯一的32位16进制大写字符串格式的sessionId,Tomcat使用Map对象存储每一个session对象,其key正是sessionId 在响应到客户端的信息中,tomcat...
TomcatCookie设置HttpOnly属性
weixin_34081595的博客
03-29 1382
A:Tomcat 中维持Java webapp的Http会话是以Cookie形式实现的存储在服务端用户状态信息的;B:服务端可以自定义建立Cookie对象及属性传递到客户端;服务端建立的Cookie如果没有设置HttpOnly属性,则在客户端可以用js读取Cookie中的内容(客户端脚本可以读取Session Cookie内容进行诸如CSRF/XSS恶意http***);方法...
Javaweb基础-会话
最新发布
hihihi99的博客
02-16 894
会话管理:CookieSession配合解决cookie是在客户端保留少量数据的技术,主要通过响应头向客户端响应一些客户端要保留的信息session是在服务端保留更多数据的技术,主要通过HttpSession对象保存一些和客户端相关的信息cookiesession配合记录请求状态。
服务器温习笔记(三)TomcatCookie&Session
xueshanfeitian的博客
11-16 377
会话技术 一次会话: 浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止。 会话: 一次会话中包含多次请求和响应。 功能:在一次会话的范围内的多次请求之间实现数据共享 方式: 1.客户端会话技:Cookie 2. 服务器端会话技术: Session Cookie Cookie是客户端会话技术,可以将将数据保存到客户端。 使用步骤 创建Cookie对象,绑定数据 new Cookie(String name, String value) 发送Cookie对象 response.addC
Tomcat中的Session
yb创作中心
04-21 1715
什么是SessionTomcat而言,Session是一块在服务器开辟的内存空间,其存储结构为ConcurrentHashMap; Session的目的 Http协议是一种无状态协议,即每次服务端接收到客户端的请求时,都是一个全新的请求,服务器并不知道客户端的历史请求记录; Session的主要目的就是为了弥补Http的无状态特性。简单的说,就是服务器可以利用session存储客户...
Cookie的基础知识
u010632547的博客
03-11 2283
创建cookie //1.创建Cookie对象 Cookie c = new Cookie("msg","hello"); //2.发送Cookie response.addCookie(c); 获取cookie Cookie[] cs = request.getCookies(); //获取数据,遍历Cookies if(cs != null){ for (Cookie ...
Tomcat 修改Cookies安全性
Hern(宋兆恒)
04-20 6080
修改方法 1、进入Tomcat的conf文件夹,打开context.xml文件 2、 将其中的<Context>标签属性更改为<Context useHttpOnly="true">: Cookie常用属性 Cookie名称,Cookie名称必须使用只能用在URL中的字符,一般用字母及数字,不能包含特殊字符,如有特殊字符想要转码。如js操作cookie的时候...
JavaWeb项目为什么我们要放弃原生TomcatSession/Cookie机制?
欢迎!欢迎来到17号城市!
12-09 7546
前戏:先说一下原生tomcatsession/cookie的定义与机制 CookieSession都为了用来保存状态信息,都是保存状态的机制,它们都是为了解决HTTP无状态的问题而所做的努力。 CookieSession有以下明显的不同点: 1)Cookie将状态保存在客户端(默认在本地的硬盘里), Session将状态保存在服务器端(默认在tomcat的内存中,当然
Tomcat SessionCookie详解:实现机制与实战应用
Tomcat中,SessionCookie是两种常见的技术,用于处理Web应用程序中的状态管理和用户会话。由于HTTP本身是无状态的,每次请求都是独立的,为了保持用户状态,我们需要借助SessionCookie来实现。 1. **Session...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值