有人可以告诉我,如果客户端使用组成的(有效)JSESSIONID 向 servlet 容器发起请求,会发生什么情况?假设 servlet 的记录中没有这个 jsessionid(我们不是劫持 session ,只是编造一个),servlet 会接受这个 session 并将其用于所有后续调用,还是会忽略它,编造自己的 session jsessionid并返回给客户端?
最佳答案
如果无法根据给定的 JSESSIONID 找到 HttpSession,它将被忽略。只要代码需要,就会创建一个新的 JSESSIONID cookie,并设置一个具有新 ID 的新 JSESSIONID cookie。
关于java - Servlet 容器如何管理组成的 jsessionid?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8006887/