所以,我认为这是因为导致问题的JSESSIONID cookie,但不太确定,这就是。
基本上,用户在登录时需要输入特殊令牌。但是,即使没有输入该令牌,用户也能以某种方式访问私人/会员页面。
因此,用户输入凭据减去令牌,弹出错误,用户忽略它。当然,由于存在该错误,因此用户不会被定向到成员页面。但是,用户可以手动输入特定的成员页面并访问它。
我相信这是jsessionid,一旦我删除了cookie,成员页面的访问权也会消失。
有什么想法吗?
答案 0 :(得分:0)
实际上,导致问题的不是jsessionid,而是一些奇怪的servlet做了奇怪的事情......