JSessionIdの一意性と有効範囲は、未解決の複数のドメインに関連するため、理解しようとしています。複数のドメインにわたるJSessionIdの理解
私はUnder what conditions is a JSESSIONID created?を読んで、まだいくつかの質問がありました - 具体的に
:
ユーザーが訪問www.app1.com場合は、そのアプリがデータをロードするwww.app2.comへの呼び出しを行い、2 JSESSIONIDの作成です - ドメインごとに1つ?
同様に、コールがwww.app2.comに出ると、www.app1.comのjsessionidに関する情報が引き継がれますか?
これにはどのような影響がありますか? (例:http://app1.com/login.jspをリクエストするとhttp://app2.com/login.jspにリダイレクトされます)
、二つJSESSIONIDの作成 - 各 ドメインに1つずつ?
はい。より正確には、すべての別個のWebアプリケーションがそのドメインに対して独自のCookieを発行します。したがって、異なるWebアプリケーションがマップされている場合は、www.app1.com/1とwww.app1.com/2のCookieが異なります。
同様に、www.app2.comに電話をかけたときに、www.app1.comのjsessionidに関する情報 が渡されましたか?
いいえ、XSSとCSRFについては、アプリのセキュリティが優れている理由についてお読みください。クッキーに沿って渡されるスクリプトを別のURLに挿入することは難しくないためです。
これにはどのような影響がありますか?全く(例えば、 http://app1.com/login.jspを要求するhttp://app2.com/login.jspにリダイレクト)
なし。両方に既にロギングされている場合は、おそらく後でログオンするでしょう。ログオフしても他のログには影響しません。 (シングルサインオン/シングルサインオフを真にしたい場合は、両方のアプリがCASサーバーやKerberosサーバーのような第三者を信頼する必要があります)。
JSESSIONIDはセッションCookieです。このCookieにはdomainが設定されているため、属性に異なるパスのJSESSIONIDと呼ばれる2つのCookieがあります。ユーザーの訪問www.app1.com、そのアプリがデータをロードする www.app2.comへの呼び出しを行った場合