标签: spring-security httpsession session-management session-fixation
在会话固定中,攻击者知道受害者的旧会话/先前会话ID。为处理会话固定,我们在验证用户身份后创建一个新会话。
攻击者在验证用户身份后读取用户的会话ID的情况。如何应对这种攻击?