SessionCookie相关设置

最新推荐文章于 2022-08-07 18:26:37 发布
最新推荐文章于 2022-08-07 18:26:37 发布
阅读量137 收藏
点赞数
文章标签: web.xml java
原文链接:https://segmentfault.com/a/1190000004273956
版权

首先,你要知道Session和SessionId的关系,以及Session和Cookie的关系。

Session是将会话数据存在于服务端的一种机制,由于Http无状态的特性,所以需要SessionId来维持浏览器与服务器的关联。

SessionId只要用特定的方式传递到服务器,服务器就可以解析到SessionId并拿到Session数据。常见的有URL参数、Cookie、Header参数等传递方式。

一般情况下JavaWeb项目的容器会把SessionId存储到Cookie中,这样就可以设置过期时间、只读等属性。

Session的配置一般会写在JavaWeb项目的Web.xml文件中,比如以下配置

需要注意以下配置只能用于Servlet3.0及以上版本,较低版本可用监听器或过滤器实现设置属性。

<session-config>
    # 设置Session数据30分钟后过期
    <session-timeout>30</session-timeout>
    <cookie-config>
        # 设置SessionId在Cookie中的名称
        <name>sop_session_id</name>
        # 设置SessionId存在哪个路径下,跟路径则可全站使用
        <path>/</path>
        # 设置是否只读
        <http-only>true</http-only>
        # 设置SessionId30分钟后过期
        <max-age>10800</max-age>
        # 设置安全机制,只有https才能获取
        <secure>true</secure>
 </cookie-config>
</session-config>
weixin_34341229
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Appscan漏洞之加密会话(SSL)Cookie中缺少Secure属性
学者-微风
05-14 5903
近期 Appscan扫描出漏洞 加密会话(SSL)Cookie 中缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理 任何以明文形式发送到服务器的 cookie、会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信息要始终以加密的方式发送到 Web 站点。 1.2、修复建议 给cookie添加secure属性 1.3、修复代码示例 1)服务器配置为HTTPS SSL方式 2)Servlet 3.0 (Java EE 6)的
spring-session自定义cookie中的sessionId名称(基于springboot)
zhu124866的专栏
08-17 2万+
为何要修改sessionId名称 如果多个应用系统,访问使用同一个域名或IP,不同端口时,在同一个浏览器登陆这些系统系统,它们之间会出现用户会话会出现覆盖问题,即登录到其中一个应用系统,其他应用系统出现重新登陆现象; 具体操作 经过分析SpringHttpSessionConfiguration的源码(这里不带大家对源码进行分析了),可归纳出以下两种方式可修改sessionId名称 1、定...
SessionCookie 使用
小鲁蛋的博客
08-07 986
目录一、Cookie1、Cookie的创建 2、服务器获取Cookie3、Cookie值的修改方案一方案二4、浏览器查看Cookie5、Cookie生命控制 6、Cookie有效路径Path的设置 7、Cookie免输入用户名登录二、Session1、Session2、创建Session和获取3、Session域数据的存取4、Session生命周期控制 5、浏览器和Session之间关联的技术内幕Cookie 是服务器通知客户端保存键值对的一种技术。客户端有了 Cookie 后,每次请求都发送给服务
JAVA年度安全 第三周 SESSION COOKIE SECURE 标识
New World
07-26 2450
http://www.jtmelton.com/2012/01/17/year-of-security-for-java-week-3-session-cookie-secure-flag/  What is it and why do I care ? Session cookies (或者包含JSSESSIONID的cookie)是指用来管理web应用的session会话的cookies.
web.xml配置cookie-config的secure为true时引发的血案
xiaozhuangyumaotao的博客
05-24 6821
一个普通的不能再普通的登录场景:登录成功之后把用户信息放入session: request.getSession().setAttribute("antiUser",user); 以后使用的时候再从session里面取出: AntiUserantiUser=(AntiUser)request.getSession().getAttribute("antiUser"); 本地运行没有任何问题,开玩笑,搞了那么多年java,这点功能还不是小意思?但是,接下来问题来了,当把项目部署到测试环境上...
php禁用cookiesession设置方法分析
10-21
主要介绍了php禁用cookiesession设置方法,分析了php相关配置文件的功能与设置方法,具有一定参考借鉴价值,需要的朋友可以参考下
PHP 实现超简单的SESSIONCOOKIE登录验证功能示例
10-15
主要介绍了PHP 实现超简单的SESSIONCOOKIE登录验证功能,结合实例形式详细分析了PHP使用cookiesession实现登录验证的相关操作步骤与注意事项,需要的朋友可以参考下
Yii框架SessionCookie使用方法示例
10-16
主要介绍了Yii框架SessionCookie使用方法,结合实例形式分析了Yii框架针对SessionCookie设置、获取、删除等相关操作技巧,需要的朋友可以参考下
Session Cookie的HttpOnly和secure属性
10-29
一、属性说明: 1 secure属性 ...也就是说两个属性,并不能解决cookie在本机出现的信息泄漏的问题(FireFox的插件FireBug能直接看到cookie相关信息)。 二、实例 项目架构环境:jsp+servlet+applet
PHP cookiesession会话基本用法实例分析
10-15
主要介绍了PHP cookiesession会话基本用法,结合实例形式分析了PHP cookiesession会话基本存储、设置、删除等相关使用方式,需要的朋友可以参考下
web.xml中配置session属性
热门推荐
ch717828的专栏
09-18 3万+
为什么要在web.xml配置JSP属性 在许多情况下,都可以在Java EE中直接使用HTTP会话,不需要添加显示地配置。不过可以在部署描述符中配置它们,并且出于安全地目的也应该配置。在部署描述符中使用标签配置会话。 样例 30 JSESSIONID example.org /shop true false 1800 COOK
Cookie/Session机制详解
白糕茶的博客
08-21 176
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述CookieSession机制,并比较说明什么时候不能用Cookie,什么时候不能用Session。1.1 Cookie机制 在程序中,会话跟踪是很重要的
2个漏洞X-Frame-Options和Cookie without Secure flag
邢立军的技术专栏
05-24 4395
2.1Clickjacking:X-Frame-Options header missing 漏洞级别:低危 受影响的站点: 序号 受影响站点 截图 2 https://bpo.elite-club.net.cn/gmacsaic-bpo 漏洞危害: 未设置X-Frame-Options,可导致点击劫持漏洞,使得攻击者结合其他漏洞篡改网站页面后,用户点击时会在不知情的情况下...
session-cookie without secure flag set解决方案
weixin_34034261的博客
11-10 6495
扫出一个session-cookie without secure flag set这个漏洞,在web.xml里加<cookie-config><http-only>true</http-only> <secure>true</secure> </cookie-config>...
sessioncookie内幕详解
一只黑猩猩
06-08 251
cookie Cookie 是服务器通知客户端保存键值对的一种技术。 客户端有了 Cookie 后,每次请求都发送给服务器。 注意:每个 Cookie 的大小不能超过 4kb。 创建cookie //1.创建cookie Cookie cookie1 = new Cookie("key1","value1"); //2.通知客户端保存cookie(通过响应头set-cookie通知客户端保存cookie) resp.addCookie(cookie1); 服务器获取cookie Cookie[] coo
设置SessionCookie
blackball1998的博客
05-20 504
设置SessionCookie 使用Spring MVC时,如果需要使用SessionCookie,可以通过Servlet原生api设置SessionCookie 设置Session 当我们需要保存Session时,如保存用户数据,只需要在请求处理方法的参数列表中添加一个HttpSession对象,然后调用对象的setAttribute方法和getAttribute方法,就可以轻松地设置和获取session @RestController public class MyController {
cookie sessionid
最新发布
05-04
Cookie 是一种存储在用户计算机上的小文件,它包含了一些与用户相关的信息,比如用户的登录状态、购物车中的商品、用户的偏好设置等等。当用户发送请求时,浏览器会将相应的 Cookie 信息一并发送给服务器,服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值