1.cookie与session的关系
Session 信息都是放在内存的,第一次创建Session的时候,服务端会在 Cookie 里面记录一个Session ID,以JSESSIONID的方式来保存,以后每次请求把这个会话ID发送到服务器,根据Session ID服务器就知道是谁了,所以session相对是安全的(Session ID可以被劫持与伪造,所以Session ID不能是固定的),倘若Cookie被禁用,那么需要url重写来解决该问题(
在路径后面自动拼接sessionId)。
url重写:String path = resp.encodeURL(
"path"
)(转发);
String path =
response.encodeRedirectURL("path")(重定向
);
Session ID防止被劫持
方式1:每次在接受Session ID后进行销毁,然后将其中的数据保存在新的Session,也不是很可靠,只是相对可靠,可以利用间隙时间劫持
方式2:设置httpOnly属性,httpOnly是cookie的扩展属性,并不包含在servlet2.x的规范里,因此一些javaee应用服务器并不支持httpOnly,针对tomcat >6.0.19或者>5.5.28的版本才支持httpOnly属性
使用方法
<Context useHttpOnly="true"> ... </Context>
或
response.setHeader( "Set-Cookie", "name=value; HttpOnly");
2. session跨域
原因:默认session是不能跨域的
什么是域
在应用模型,一个完整的,有独立访问路径的功能集合称为一个域。例如百度下的若干的域,如:搜索引擎(www.baidu.com),百度贴吧(tie.baidu.com),百度知道(zhidao.baidu.com),百度地图(map.baidu.com)等。域信息,有时也称为多级域名。域的划分: 以IP,端口,域名,主机名为标准,实现划分。
什么是跨域
客户端请求的时候,请求的服务器,不是同一个IP,端口,域名,主机名的时候,都称为跨域。
什么是session跨域
Session跨域就是摒弃了系统(Tomcat)提供的Session,而使用自定义的类似Session的机制来保存客户端数据的一种解决方案。
实现方法的原理
通过设置cookie的domain来实现cookie的跨域传递。在cookie中传递一个自定义的session_id。这个session_id是客户端的唯一标记。将这个标记作为key,将客户端需要保存的数据作为value,在服务端进行保存(数据库保存或NoSQL保存)。这种机制就是Session的跨域解决。
代码实现
@RequestMapping("/test")
public String test(HttpServletRequest request, HttpServletResponse response){
//cookieName名
String cookieName="custom_global_session_id";
String encodeString="UTF-8";
//获取cookieName名对应的cookieValue的值
String cookieValue = CookieUtils.getCookieValue(request, cookieName, encodeString);
//假如为null或者“”,使用UUID随机产生一个32位的随机字符串
if(null == cookieValue || "".equals(cookieValue.trim())){
System.out.println("无cookie,生成新的cookie数据");
cookieValue = UUID.randomUUID().toString();
}
// 根据cookieValue访问数据存储,获取客户端数据。
CookieUtils.setCookie(request, response, cookieName, cookieValue, 0, encodeString);
return "/ok.jsp";
}
public static String getCookieValue(HttpServletRequest request, String cookieName, String encodeString) { Cookie[] cookieList = request.getCookies(); if (cookieList == null || cookieName == null) { return null; } String retValue = null; try { for (int i = 0; i < cookieList.length; i++) { if (cookieList[i].getName().equals(cookieName)) { retValue = URLDecoder.decode(cookieList[i].getValue(), encodeString); break; } } } catch (UnsupportedEncodingException e) { e.printStackTrace(); } return retValue; } public static void setCookie(HttpServletRequest request, HttpServletResponse response, String cookieName, String cookieValue, int cookieMaxage, String encodeString) { doSetCookie(request, response, cookieName, cookieValue, cookieMaxage, encodeString); } private static final void doSetCookie(HttpServletRequest request, HttpServletResponse response, String cookieName, String cookieValue, int cookieMaxage, String encodeString) { try { if (cookieValue == null) { cookieValue = ""; } else { cookieValue = URLEncoder.encode(cookieValue, encodeString); } Cookie cookie = new Cookie(cookieName, cookieValue); if (cookieMaxage > 0) cookie.setMaxAge(cookieMaxage); if (null != request) {// 设置域名的cookie String domainName = getDomainName(request);//获取域名 if (!"localhost".equals(domainName)) { cookie.setDomain(domainName);//domain的含义为域 } } cookie.setPath("/");//可在同一应用服务器内共享方法,可以在webapp文件夹下的所有应用共享cookie response.addCookie(cookie); } catch (Exception e) { e.printStackTrace(); } } private static final String getDomainName(HttpServletRequest request) { String domainName = null; // 获取完整的请求URL地址。 String serverName = request.getRequestURL().toString(); if (serverName == null || serverName.equals("")) { domainName = ""; } else { serverName = serverName.toLowerCase(); if (serverName.startsWith("http://")){ serverName = serverName.substring(7); } else if (serverName.startsWith("https://")){ serverName = serverName.substring(8); } final int end = serverName.indexOf("/"); // .test.com www.test.com.cn/sso.test.com.cn/.test.com.cn spring.io/xxxx/xxx serverName = serverName.substring(0, end); final String[] domains = serverName.split("\."); int len = domains.length; if (len > 3) { domainName = "." + domains[len - 3] + "." + domains[len - 2] + "." + domains[len - 1]; } else if (len <= 3 && len > 1) { domainName = "." + domains[len - 2] + "." + domains[len - 1]; } else { domainName = serverName; } } if (domainName != null && domainName.indexOf(":") > 0) { String[] ary = domainName.split("\:"); domainName = ary[0]; } return domainName; }
备注:
set-cookie虽然在响应头中存在,但是在跨域的时候出于安全考虑,该头会被浏览器忽略,并不会产生真实的cookie,而Cookie 的domain属性设置域之后,那么子域可以访问父域的cookie,而父域不可以访问子域的cookie,可以说cookie的domain访问权限是向下继承的,当然其它域名跨域名访问也是不可以的。注意:倘若将domain设置为com.cn,但是f.com.cn是不会接收domain为com.cn的cookie,domain设置为b.e.f.com.cn或.b.e.f.com.cn没有区别,session是保存在内存中的,由Session ID取值。跨域设计的思想也是子域可以访问父域。
而session共享是通过cookie.setPath("/")设置;//可在同一应用服务器内共享方法,可以在webapp文件夹下的所有应用共享cookie