Java会话(HttpSession)是否验证IP地址?
[英]Does a Java session (HttpSession) validate IP addresses?
问题描述
使用由Java的Servlet API通过HttpSession接口提供的Session管理,创建了一个cookie JSESSIONID。 此cookie用于验证用户是否具有已创建的会话。
但是,Servlet是否验证此JSESSIONID值是否来自创建会话的同一台机器?
我知道XSS(跨站点脚本)攻击可以窃取用户的会话cookie,但是当恶意用户将JSESSIONID发送回服务器时,他/她是否能够检索会话内容? 或者服务器验证发送JSESSIONID的用户的IP?
4 个解决方案
解决方案1
2 2015-05-08 04:59:09
不,它没有检查同一会话中后续请求之间的ipaddress是否相同。 但是,您可以获取该IP地址并使用其他名称保存在会话中,并可以通过您的sel进行检查
解决方案2
1 已采纳 2015-05-08 04:51:25
为用户创建会话时
- 在服务器端创建会话ID。
- 此会话ID将发送给发送请求的浏览器
- 此id存储在名为JSESSIONID的cookie中
- 浏览器发送此cookie以用于后续请求
- 服务器知道服务器端的会话ID,并使用cookie中的会话ID进行验证
- 不检查后续请求的IP地址。 使用jsessionid识别会话
解决方案3
0 2015-05-08 04:58:02
HTTP是无状态协议,在每个请求中传递JSESSIONID值(以cookie的形式或作为URL参数),以指示服务器请求属于由JSESSIONID值表示的会话。 服务器使用JSESSIONID作为密钥维护会话对象,该密钥用于将会话对象与请求相关联。 如果这是“服务器验证发送JSESSIONID的用户的IP”的意思,它不会维护客户端IP和会话ID之间的关系。 因此它不会对给定的会话ID执行客户端IP验证。
解决方案4
0 2015-05-08 04:58:16
不,服务器不验证IP地址。 这就是为什么会有偷窃会议的原因。 并且,Servlet引入了一些措施来避免它们。
Weblogic会话转发中未维护Java Servlet HttpSession
[英]Java Servlet HttpSession not maintained on Weblogic session forward
Java - javax.websocket.Session 和 javax.servlet.http.HttpSession 是否使用相同的 JSESSIONID?
[英]Java - Does javax.websocket.Session and javax.servlet.http.HttpSession use the same JSESSIONID?
Java:跟踪用户登录会话 - 会话EJB与HTTPSession
[英]Java: Tracking a user login session - Session EJBs vs HTTPSession
如何使用Java Servlet保护HttpSession中的会话变量
[英]How to secure session variable in HttpSession using java servlets
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
在Java中验证MAC和IP地址
用Java排序IP地址
spring-session 是否使用 HttpSession 保存 bean?
Weblogic会话转发中未维护Java Servlet HttpSession
httpSession在Java中使用哪种方法进行会话管理
Java - javax.websocket.Session 和 javax.servlet.http.HttpSession 是否使用相同的 JSESSIONID?
Java:跟踪用户登录会话 - 会话EJB与HTTPSession
Java servlet HttpSession似乎无法立即工作
Java HttpSession
如何使用Java Servlet保护HttpSession中的会话变量
相关标签