Использование сеанса, управляемого Java-сервлета через интерфейс HttpSession, создается JSESSIONID файла cookie. И этот файл cookie используется для проверки того, имеет ли пользователь создан сеанс или нет.Выполняет ли сеанс Java (HttpSession) IP-адреса?
Но подтверждает ли сервлет, что это значение JSESSIONID получено с того же компьютера, который создал сеанс?
Я знаю, что атака XSS (Cross-Site Scripting) может украсть файлы cookie сеанса от пользователей, но когда злоумышленник отправляет JSESSIONID на сервер, может ли он получить содержимое сеанса? Или сервер проверяет IP-адрес пользователя, отправляющего JSESSIONID?
Нет, он не проверял, является ли ipaddress тем же. Тем не менее, вы можете получить этот IP-адрес и сохранить в сеансе с другим именем и можете проверить самостоятельно – Panther