Tomcat在同一会话中旋转JSESSIONID的频率如何

时间:2015-04-07 02:59:32

标签: java tomcat7 sessionid

我正在尝试扫描Tomcat中托管的Webapp并遇到一些困难,后来甚至在同一会话中实现了用户tomcat更改JSESSIONID(使用Fiddler监控)。我在server.xml中找不到任何配置。有关这方面的任何信息都会有所帮助

我认为Tomcat会这样做来捍卫Session Fixation

1 个答案:

答案 0 :(得分:0)

我相信Servlet的默认会话超时是30分钟。

可以在web.xml中使用<session-timeout>进行更改。