DWR Cookie (DWRSESSIONID) 及其使用
Posted
技术标签:
【中文标题】DWR Cookie (DWRSESSIONID) 及其使用【英文标题】:DWR Cookie (DWRSESSIONID) and its use 【发布时间】:2012-05-21 09:57:46 【问题描述】:想知道由DWR 生成并发送到浏览器的DWRSESSIONID 有什么用?它与 HTTPSession 相关联吗?当JSESSIONID 用于维护状态时,看不到创建此 cookie 的任何实际原因。
【问题讨论】:
【参考方案1】:DWR 3.0 中添加了 DWRSESSIONID cookie 以防止 CSRF attacks。它在服务器端 DWR 类Batch.java 首次调用时设置。在随后的调用中,BaseDwrpHandler.java 使用它来检查 CSRF 攻击。即使没有 HttpSession 也可用,因此没有 JSESSIONID。由Mike Wilson on the DWR-Users mailing list解释:
在 DWR 3.0 模型中,我们创建自己的会话 cookie(“DWRSESSIONID”) 所以总会有一个会话cookie来作为CSRF检查的基础, 即使应用程序不使用 HttpSession。
【讨论】:
以上是关于DWR Cookie (DWRSESSIONID) 及其使用的主要内容,如果未能解决你的问题,请参考以下文章