,
1会话ID Web ScrabIDID128TomcatID {TOMCAT_HOME} \ conf \ context.xml & lt;经理sessionIdLength=?0”;,, ID 16 id20id <代码> 代码> SHA1PRNG java.security.SecureRandom 会话IDTomcat {generateSessionId , 结果=零; , , ; , , TomcatID 2 本;软会话过期(软会话TimeoutHard会话超时 4030 CSRFCSRF 3 tomcat>Servletcontext Web> aTomcat 30 {TOMCAT_HOME} \ conf \ web . xml & lt; session-config> & lt;/session-config> bWeb 15 {TOMCAT_HOME} \ webapps \ {APP_NAME} \ web - inf \ web . xml & lt; session-config> & lt;/session-config> c 5 <代码> 代码> 5 5 XSSsession APIweb filterSession IDSession IDSession ID 3饼干 CookiesecureHttpOnlyCookie secureCookieHTTPSIDMan-in-the-Middle HttpOnlyXSSJavaScriptdocument.cookieDOMXSSID Tomcat 7 servlet 3.0 web . xml <代码> 代码> <代码> 代码> <代码> 代码> <代码> 代码> <代码> 代码> <代码> 代码> <代码> 代码> <代码> 代码> Tomcat 6 Tomcat 6 servlet 2.5 4注销 logoutlogoutESAPIlogout 类:org.owasp.esapi.reference.DefaultUser 公共空间注销{ .killCookie (ESAPI.currentRequest ESAPI.currentResponse, HTTPUtilities。REMEMBER_TOKEN_COOKIE_NAME); .getSession(假); removeSession(会话); ; .killCookie (ESAPI.currentRequest ESAPI.currentResponse, “JSESSIONID"); .setCurrentUser (User.ANONYMOUS); killCookie 公共空间killCookie (HttpServletRequest请求、HttpServletResponse响应字符串名称){ ; ; } 我 JSESSIONIDCookie deleterCookie , , WebOWASP前十名esapi ,保护你的会话令牌