cookie secure
當服務器使用https時,容易出現漏洞SSL cookie without secure flag set,敏感cookie這時就需要打開cookie secure,服務器端設置cookie的時候,可以指定 secure 屬性,在web.xml中設置secure cookie的方式舉例:
<session-config> <session-timeout>30</session-timeout> <cookie-config> <secure> true </secure> <http-only> true </http-only> </cookie-config> </session-config>
當涉及到使用session時,這時cookie只有通過https協議傳輸的時候才會帶到網絡請求中,不加密的http請求不會帶有secure cookie。所以就獲取不到session,我當時由於本地環境沒有配置https,一直拿不到session,服務器配置了https就能拿到。或者可以刪除secure的配置。
sessionID
有可能是前后session不一致,是否存在跨域問題,使用session.getId()查看sessionID,再有就是檢查getAttribute里的name是否正確。