DWR Cookie(DWRSESSIONID)及其使用

时间:2012-05-13 19:15:55

标签: cookies session-state session-cookies dwr httpsession

想知道由DWRSESSIONID生成并发送到浏览器的DWR的用途是什么?它与HTTPSession相关联吗?当JSESSIONID用于维护状态时,看不出任何实际原因来创建此cookie。

1 个答案:

答案 0 :(得分:3)

DWR 3.0中添加了DWRSESSIONID cookie以防范CSRF attacks。它是在服务器端DWR类Batch.java首次调用时设置的。在后续调用中,BaseDwrpHandler.java使用它来检查CSRF攻击。即使没有HttpSession,它也可用,因此没有JSESSIONID。由Mike Wilson on the DWR-Users mailing list解释:

  

在DWR 3.0模型中,我们创建自己的会话cookie(“DWRSESSIONID”)   因此总会有一个基于CSRF检查的会话cookie,   即使应用程序不使用HttpSession。