我看到HTTP请求的请求标头和响应标头中的JSESSIONID是不同的。是常见的情况还是例外?
答案 0 :(得分:1)
这很正常,但我不会说很常见。这取决于您在请求/响应交换期间的操作。
使任何现有的登录/注销会话无效是一种常见的技术。
使用会话无效来使现有会话无效是常见的。
在登录更改期间使用HttpServletRequest。changeSessionId()也很常见,那里的安全专家也推荐使用这种技术。
但是所有请求都不会发生,也不应该成为大多数请求的标准。
简而言之,对于某些类型的请求(凭据更改,登录,身份验证,授权等),这是正常/常见的,但对于其他类型的请求却很少见。