ggfan 2010-04-10 21:24
浏览 172
已采纳

关于Java Servlet 的Session

都说Session是只认id不认人,那么如果我从cookie中找出session id,然后把它附加在URL上,然后在该Session id所代表的会话结束前发送给服务器,是不是就相当于侵入了一个会话了呢?

比如,可能某个用户经过了验证然后进入了一个Session,而我利用这种方式绕过了验证,直接访问本来需要授权的资源?

我知道这是不可能的假设,但是想知道背后的原理。

thanks !

  • 写回答

4条回答 默认 最新

  • 拽拽的初行者 2010-04-11 14:17
    关注

    [color=blue]
    [b]sessionId是存在于客户端的cookie或者URL上,它是服务器用了识别客户端身份的一个标识。
    如果你使用了一个已经经过验证的sessionid,并且该session并没有超时,你将sessionid附件在URL参数中,应该是可以访问到受保护的资源的。

    注意,“应该是”!

    如果Server端采用了更严格的安全控制机制,比如:

    1、检测你的HTTP的referer属性,查看你的本次访问来自于哪里;

    2、检测你的本机端口(不同的浏览器,是端口不同的);

    等方式,这种附件sessionId的方法,会受到一定的限制。[/b][/color]

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(3条)

报告相同问题?

悬赏问题

  • ¥30 Unity接入微信SDK 无法开启摄像头
  • ¥20 有偿 写代码 要用特定的软件anaconda 里的jvpyter 用python3写
  • ¥20 cad图纸,chx-3六轴码垛机器人
  • ¥15 移动摄像头专网需要解vlan
  • ¥20 access多表提取相同字段数据并合并
  • ¥20 基于MSP430f5529的MPU6050驱动,求出欧拉角
  • ¥20 Java-Oj-桌布的计算
  • ¥15 powerbuilder中的datawindow数据整合到新的DataWindow
  • ¥20 有人知道这种图怎么画吗?
  • ¥15 pyqt6如何引用qrc文件加载里面的的资源