很奇怪,如果已经启用了Auth Cookie,如果JSESSIONID cookie在HTTP通信通道中公开,则可以使用JSESSIONID启动模拟攻击吗?
weblogic是否允许这样做?
谢谢!
答案 0 :(得分:0)
启用Auth Cookie会导致WebLogic Server在通过 HTTPS 连接进行身份验证时向浏览器发送新的安全cookie _WL_AUTHCOOKIE_JSESSIONID。
如果您只有HTTP,那么您将只拥有不是安全cookie的JSESSIONID
所以答案是肯定的。