gpt4 book ai didi

java - 了解跨多个域的 JSessionId

转载 作者:行者123 更新时间:2023-12-02 00:40:45 29 4
gpt4 key购买 nike

我试图了解 JSessionId 的唯一性和范围,因为它涉及多个不相关的域。

我已阅读 Under what conditions is a JSESSIONID created? ,还有一些问题 -

具体:

如果用户访问 www.app1.com,并且该应用调用 www.app2.com 来加载数据,则会创建两个 jsessionId - 一个用于每个域?

同样,当调用 www.app2.com 时,是否会传递有关 www.app1.com 的 jsessionid 的任何信息?

重定向对此有何影响? (例如,请求 http://app1.com/login.jsp 重定向到 http://app2.com/login.jsp)

最佳答案

If a user visits www.app1.com, and that app makes a call to www.app2.com to load data, are two jsessionId's created - one for each domain?

是的。更准确地说,每个单独的 WebApp 都会为其域发布自己的 cookie。因此,如果映射不同的 webapp,www.app1.com/1 和 www.app1.com/2 将具有不同的 cookie。

Likewise, when the call goes out to www.app2.com, is any information about the jsessionid from www.app1.com passed along?

不,但是请阅读有关 XSS 和 CSRF 的内容,了解为什么保护您的应用程序是好的,因为注入(inject)将 cookie 传递到另一个 URL 的脚本并不困难。

What impact do redirects have on this? (Eg., requesting http://app1.com/login.jsp redirects to http://app2.com/login.jsp)

没有任何事。如果您碰巧已经登录了两者,那么您可能会稍后登录。注销其中一个不会影响另一个。 (如果您想要真正的单点登录/单点注销,两个应用程序都必须信任第三方,例如 CAS 服务器或 Kerberos 服务器)。

关于java - 了解跨多个域的 JSessionId,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6433856/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com