1
DWR
によって生成され、ブラウザに送信されるDWRSESSIONID
の使用は何ですか?それはHTTPSessionに関連付けられていますか? JSESSIONID
を使用して状態を維持する場合、このクッキーを作成する実用的な理由はありません。DWR Cookie(DWRSESSIONID)とその使用
DWR
によって生成され、ブラウザに送信されるDWRSESSIONID
の使用は何ですか?それはHTTPSessionに関連付けられていますか? JSESSIONID
を使用して状態を維持する場合、このクッキーを作成する実用的な理由はありません。DWR Cookie(DWRSESSIONID)とその使用
DWRS 3.0では、CSRF attacksから保護するためにDWRSESSIONIDクッキーが追加されました。これは、サーバー側のDWRクラスBatch.java
によって最初に呼び出されるときに設定されます。それ以降の呼び出しでは、BaseDwrpHandler.java
によってCSRF攻撃をチェックするために使用されます。 HttpSessionがない場合でも使用できます。したがって、JSESSIONIDはありません。 Mike Wilson on the DWR-Users mailing listによって説明することは:私たちは私たち自身のセッションクッキー(「DWRSESSIONID」)を作成するDWR 3.0モデルで
ので、常にアプリケーションがない場合であっても、オフチェック をCSRFの基にセッションクッキーが存在しますHttpSessionを使用します。