ITWANGBOIT的博客

前提虽然通过使用springsecurity我们防御了会话固定攻击，但是如果黑客等待合法用户登录系统之后，再从合法用户浏览器中拿到名字为JSESSIONID的cookie，然后放入黑客自己的浏览器的cookie中，这样以来当黑客带着盗窃来的JSESSIONID访问系统时，后端系统会根据JSESSIONID找到对应的session，就会把该次请求当成是认证通过的用户发送的请求；这样黑客就可以为所欲为了。实践如下图：经过上图的实践，证明我的分析是合理的，只要能拿到认证通过的用户的cook

前提浏览器端的sessionId和服务器端的session是对应的，在两者都不过期的情况下，他们之间的对应关系是不变的；黑客就是利用这一特性，将自己的sessionId发给系统的信任用户，当信任用户登录系统后，就可以把该sessionId对应的session变成完成认证的状态；这样以来，系统就把黑客当成了那个信任用户了。举例会话固定攻击的流程是这样的，以淘宝为例：攻击者自己可以正常访问淘宝网站，在访问的过程中，淘宝网站生成了一个session，并把sessionId返回给攻击者。 攻击者利

两者都存在有效期的说法我们第一次访问系统后端时，后端会生成一个session来为本次请求服务，并把session的id返回浏览器端，存在名字为JSESSIONID的cookie中；后端生成的session存在有效期的说法，好像默认是30分钟，可以通过设置指定有效时间；浏览器中的cookie也存在有效期的说法，默认是关闭浏览器后cookie过期，也可以通过设置来指定有效时间；两者的对应关系后端的session和前端cookie中的sessionid是对应的，两者任意一方失效，就会导致对应不上，

1：WEB-INF目录的位置，位于WebRoot或WebContent目录内，WEB-INF里默认有lib目录和web.xml配置文件。2：WEB-INF下面的内容只能由服务器级别才能访问，客户端并不能访问。 服务器级别指：经过服务器内的Controller渲染。 客户端级别指：通过浏览器直接访问。3：鉴于WEB-INF的以上特性，可以将页面文件放到它里面，避免...

如上图是一个jquery.ajax()的使用。1：当调用url的目标方法能正常处理该请求，且正确返回后（途中没有发生异常：运行时异常，不包括非运行时异常，因为非运行时异常需要try catch），会回调success方法。2：当调用url的目标方法在运行过程中，发生了异常（运行时异常），则会调用error方法。...

1：MultipartFile 转成Filepublic static File multipartFileToFile(MultipartFile file ) { File toFile = null; try{ if(file==null||file.equals("")||file.getSize()<=0){...

1：一个普通web项目在编译器里的结构2：编译过后看到的目录结构应该是WebRoot里的目录结构(如果在WebRoot下创建一个文件夹放页面文件，则那些页面文件可以通过浏览器直接访问，但是WEB-INF下的页面文件不能通过浏览器直接访问，所以起到了一个保护的作用)3：src和resource里的文件经过编译之后去了WEB-INF里的classes里4：src和resourc...