背景 JavaWeb应用中，如果没有对JESSIONID这类Cookie信息设置httpOnly属性，就存中这种风险： 可以通过js的document.cookie打印会话信息，并窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使能够以该用户身份查看或变更用户记录以及执行事务。 此外，会话ID应该在登陆成功后重置，迫使客户端得到一个新的会话ID，这两项是会话相关的安全内容。本文将整理重置会话的方法和不同服务器对httpOnly属性支持的情况。 登陆成功后重置httpSession 会话标识更新操作，是指在用户登录成功后，将旧的Request信息获取到一个临时对象中，然后调...