1
에 의해 생성되어 브라우저로 전송되는 DWRSESSIONID의 용도는 무엇이 궁금한가요? HTTPSession과 연결되어 있습니까? JSESSIONID을 사용하여 상태를 유지하는 경우 실제 쿠키를 만들지 마십시오.DWR 쿠키 (DWRSESSIONID) 및 그 용도
A
답변
2
CSRF attacks으로부터 보호하기 위해 DWRS 3.0에서 DWRSESSIONID 쿠키가 추가되었습니다. 서버 측 DWR 클래스 Batch.java에 의해 처음 호출 될 때 설정됩니다. 이후의 호출에서는 BaseDwrpHandler.java이 CSRF 공격을 확인하는 데 사용합니다. HttpSession이 없어도 JSESSIONID를 사용할 수 있습니다. Mike Wilson on the DWR-Users mailing list로 설명하는 것은 우리가 우리 자신의 세션 쿠키 ("DWRSESSIONID")를 작성 DWR 3.0 모델에서
그래서 항상 응용 프로그램이없는 경우에도, 오프 확인 을 CSRF를 기반으로하는 세션 쿠키가있을 것입니다 HttpSession을 사용하십시오.