关于session.isNew方法?
2007年07月30日 星期一 11:54
request.getSession().isNew() 这个有点不大明白, 它是根据什么算出是最新session的呢? 难道是跟据第一次访问的页面就叫最新session? 是这样的,session就是一个全局变量,web服务程序只要打开,session就会存在,当你第一次访问时,session会自动为你分配一个session ID,所以session为新建立的,当你刷新页面时,这个session ID一直存在,不会消失,除非你关闭你要访问的web站点,或则关闭session,这个session ID才会消失。
我发现有些需要验证得网站,通常是在首页获取用户的资料,然后在后续页面中通过session.isNew()来“赶走”直接访问的用户!如果访问了首页后,直接敲入要访问的页面得地址,而不是通过提交来进行,岂不是可以绕过session.isNew ()? |