Question

我正在使用下面的代码来避免会话劫持。
我能够成功登录，登录后执行任何其他操作时，它将破坏我的会话并要求再次登录。

请提出建议，我在做什么错了，应该怎么做才能避免会话劫持。

list2 =redisClient.zrangebyscore('NTM', min=1, max=1)

Answer 1

<http-only> true </http-only>标签应未加注释。同样可以在Java端实现相同的行为，例如

@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

    // perform login checks and other validations

    String sessionid = request.getSession().getId();
    String contextPath = request.getContextPath();

    response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid
            + "; Path=" + contextPath + "; HttpOnly; Secure");

    response.sendRedirect("/some path");
}

避免会话劫持

1 个答案: