我正在开发单页Web应用程序。我已经包含了一个java过滤器来拦截html页面请求。因此,在此过滤器中,我使用request.getSession()创建会话。
然后我明确地设置JSESSIONID cookie,因为我必须在响应头HttpOnly中设置Set-Cookie标志,以防止客户端通过document.cookie进行XSS攻击。 / p>
现在登录后我需要会话,所以我使用request.getSession()访问会话。根据{{1}} javadoc HttpServletRequest javadoc
request.getSession()返回与此请求关联的当前会话,或者如果请求没有会话,则创建一个会话。
但我登录后会收到不同的会话。
答案 0 :(得分:1)
如果您使用相同的浏览器请求应用程序,我将返回相同的会话,如果您从其他浏览器请求它将返回新会话。