过期时间
cookie
- 对于cookie,若过期时间小于等于0,则代表关闭浏览器即删除cookie。
- cookie的过期时间都指的是关闭浏览器后经过多长时间过期(未验证)。
session
- 对于session,若过期时间小于等于0,代表永不过期。
- 验证发现,Tomcat中关闭浏览器session(登录状态)会立即失效,不受session过期设置的影响,这说明JSESSIONID(cookie)的过期时间被默认设为小于等于0.
- 再做验证,将session过期时间设为1分钟,即使不关闭网页session(登录状态)也会失效,这说明session的过期时间不是相对于关闭浏览器的时刻而言的;若在这一分钟之内不断地在浏览器上对服务器进行访问,session不会失效,这说明session的过期时间是相对于最后一次session活动时间而言的。
在java中设置session过期时间有三种方法:
- 项目web.xml中
<session-config>
<session-timeout>1</session-timeout>
</session-config>
- 在服务器web.xml中同上设置,当然作用范围会变成服务器。
- 在处理请求中设置此次会话的session过期时间。
session.setMaxInactiveInterval()
安全性
cookie
cookie的不安全性体现在其他用户使用计算机
可访问权限
cookie
cookie 浏览器默认只将cookie返回给与设置该cookie的servlet所在目录及之下的servlet。使用setPath("/")可以设置cookie网站所有servlet。
服务器url:以斜杠开头代表相对于根目录,无斜杠开头代表相对于当前页面或servlet所在目录。
网友评论