सर्वलेट एपीआई (जेएसएफ या जेएसपी पृष्ठों की तरह) के साथ जावा वेब एप्लिकेशन चलाते समय, लाइन के साथ कहीं भी 'अद्वितीय' सत्र आईडी उपयोगकर्ता के सत्र की पहचान करने के लिए उत्पन्न होता है।सत्र आईडी कैसे उत्पन्न होता है?
मुझे आश्चर्य है कि ये सत्र आईडी कैसे उत्पन्न होते हैं। क्या वे ग्राहक का आईपी शामिल करते हैं? एक टाइमस्टैम्प? यादृच्छिक संख्या?
दूसरा, मैं सोच रहा हूं कि यह पीढ़ी कहाँ होती है? क्या यह सर्वर पर निर्भर है जो एप्लिकेशन चलाता है?
देखें तो यह लग रहा है कोई बाहर के बॉक्स सुरक्षा मौजूद है सत्र रीप्ले के खिलाफ। हमने इसका परीक्षण किया, और आप वास्तव में किसी अन्य उपयोगकर्ता के सत्र को हाइजैक करने के लिए अपने JSESSIONID कुकी मान से छेड़छाड़ कर सकते हैं। :( –