标签: spring-session
使用HeaderHttpSessionStrategy是否安全?一个人可以获得x-auth-token,并且可以跨浏览器和机器模拟相同的会话
答案 0 :(得分:2)
请注意,Cookie本身实际上是HTTP标头。名为Cookie的标头包含您的cookie,这使您的关注适用于Spring Session提供的两种会话策略(尽管可以将cookie视为更安全,因为它们受域限制)。 / p>
Cookie
最终,使两种策略安全的原因是使用SSL传输,即HTTPS。