DWR Cookie (DWRSESSIONID) и его использование

Question

DWR Cookie (DWRSESSIONID) и его использование

Интересно, какая польза от DWRSESSIONID который генерируется DWR а отправили в браузер? Это связано с HTTPSession? Не вижу практических причин для создания этого куки, когда JSESSIONID используется для поддержания состояния.

2

cookies session-cookies session-state httpsession dwr

Источник

user408731 13 май '12 в 19:15

1 ответ

Другие вопросы по тегам cookies session-cookies session-state httpsession dwr

user171676 14 май '12 в 16:48 2012-05-14 16:48 · Answer 1 · 2012-05-14 16:48

Файл cookie DWRSESSIONID был добавлен в DWR 3.0 для защиты от CSRF-атак. Он устанавливается, когда вызов сначала выполняется классом DWR на стороне сервера. Batch.java, При последующих вызовах он используется BaseDwrpHandler.java проверить на CSRF-атаку. Он доступен, даже если нет HttpSession, следовательно, нет JSESSIONID. Объяснил Майк Уилсон в списке рассылки DWR-Users:

В модели DWR 3.0 мы создаем наш собственный файл cookie сеанса ("DWRSESSIONID"), поэтому всегда будет файл cookie сеанса, чтобы основать проверку CSRF, даже если приложение не использует HttpSession.