cookie secure
当服务器使用https时,容易出现漏洞SSL cookie without secure flag set,敏感cookie这时就需要打开cookie secure,服务器端设置cookie的时候,可以指定 secure 属性,在web.xml中设置secure cookie的方式举例:
<session-config> <session-timeout>30</session-timeout> <cookie-config> <secure> true </secure> <http-only> true </http-only> </cookie-config> </session-config>
当涉及到使用session时,这时cookie只有通过https协议传输的时候才会带到网络请求中,不加密的http请求不会带有secure cookie。所以就获取不到session,我当时由于本地环境没有配置https,一直拿不到session,服务器配置了https就能拿到。或者可以删除secure的配置。
sessionID
有可能是前后session不一致,是否存在跨域问题,使用session.getId()查看sessionID,再有就是检查getAttribute里的name是否正确。