想知道由DWRSESSIONID
生成并发送到浏览器的DWR
的用途是什么?它与HTTPSession相关联吗?当JSESSIONID
用于维护状态时,看不出任何实际原因来创建此cookie。
答案 0 :(得分:3)
DWR 3.0中添加了DWRSESSIONID cookie以防范CSRF attacks。它是在服务器端DWR类Batch.java
首次调用时设置的。在后续调用中,BaseDwrpHandler.java
使用它来检查CSRF攻击。即使没有HttpSession,它也可用,因此没有JSESSIONID。由Mike Wilson on the DWR-Users mailing list解释:
在DWR 3.0模型中,我们创建自己的会话cookie(“DWRSESSIONID”) 因此总会有一个基于CSRF检查的会话cookie, 即使应用程序不使用HttpSession。