getSession這個方法里面的邏輯,會根據傳過來的cookie里面帶的JSessionID在你的服務器上去找一個session,如果能找到,就用這個已經存在的session,這個getSession就返回這個已經存在的session嗎,如果沒有找到就創建一個新的session並返回回來。這句是getSession里面的邏輯
根據getSession的邏輯就發明了這樣的一種共計方式叫做session固定攻擊。
防止session的固定攻擊,設置為false,找不到session默認就返回一個空不回去創建一個session
如果session不為空,讓session失效。
下面在設置為true,上面已經把之前的session失效掉了。所以這里再調用session就沒有可用的sesion了。它會再創建出一個新的session來。也就是說每次你登陸成功以后。你的session里面的信息和你之前的session已經不是一個session。
如果你這么寫代碼的話,就可以避免掉session固定攻擊。
查看返回的cookie里面的參數
通過jSessionID和服務器上的session綁定起來的。
path屬性和這里的域名加路徑合起來 就是path屬性。當你訪問一個什么樣的路徑的時候,我的cookie會被攜帶發送過去。
域名是分級的,一級域名二級域名等 如果在域名這里填寫的是頂級域名,那么訪問二級域名的時候 這回帶上cookie。
如果域名這里你明確的寫的是www.imooc.com 那么就只有訪問www的才會帶上這個cookie。你放img.imooc.com就不會發出去這個cookie
路徑如果寫的 /a ,那么只有訪問帶有/a的路徑才會帶上cookie
Secure是說我當前存起來的這個cookie只有我在用https這個鏈接去發請求的時候,才能被發出去。如果不是https的 cookie就不要發。這也是為了保證一個安全性。
httpOnly就是說當前這個請求不能被javascript腳本來讀,。只能被瀏覽器自身來發送。不能通過寫一個js來讀到這個cookie。這也是為了防止跨站腳本攻擊。
到期誰建是有效期是多少。默認就是瀏覽回話結束。如果你把有效期設置成-1的話。cookie就立馬失效了。
結束