Tomcat의 쿠키는 어떻게 작동합니까?

쿠키와 관련된 몇 가지 사항에 대해 혼란 스럽습니다.Tomcat의 쿠키는 어떻게 작동합니까?

은 왜/사용하십시오 Remember me 기능을 구현하기 위해 javax.servlet.http.Cookie 클래스를 정의해야합니까? 내 web.xml에서

난 그냥 사용할 수?
```
<session-config> 
    <session-timeout>10080</session-timeout> 
</session-config> 
```
가 컴퓨터에 쿠키를 갖는 보안 문제 아닌가? 크래커가 다른 사용자의 쿠키를 훔쳐서 세션을 가로 챌 수 없습니까?

2014-02-15 ThreaT

1) 당신은하지 않습니다 - 당신은 단지 [HTTP 세션]을 작성해야합니다 (http://oak.cs.ucla.edu/cs144/projects/project5/session_tutorial.html). 2) 네, 이것을 세션 하이재킹이라고합니다 (http://en.wikipedia.org/wiki/Session_hijacking). –

JSP를 사용하면 [http 세션을 자동으로 생성합니다] (http://www.tutorialspoint.com/jsp/jsp_session_tracking.htm). 다양한 다른 것들도 케이스 세션을 만들 수 있습니다. –

예. 이것은 [Java EE 서블릿 스펙] (http://download.oracle.com/otndocs/jcp/servlet-3.0-fr-eval-oth-JSpec/)의 일부입니다. –

당신은하지 않습니다 - 당신은 단지 http session을 작성해야합니다. Tomcat은 세션을 유지하기 위해 쿠키를 만들거나 jsessionid URL 매개 변수를 사용합니다.이 쿠키는 Java EE servlet specification의 일부입니다. JSP를 사용한다면 그들은 automatically create http sessions입니다. 다양한 다른 것들도 세션을 만들 수 있습니다.
예, 이것은 session hijacking입니다.

출처

2014-02-26 15:06:27 ThreaT

Tomcat의 쿠키는 어떻게 작동합니까?

답변

관련 문제