是否有可能根本不使用会话，只需依赖servetcontext，隐藏的表单字段等？

Question

看到使用会话和cookie非常不安全，是否可以安全地使用servlet上下文变量和隐藏表单字段，url重写以实现会话所做的相同事情？

但它会同样安全和方便吗？为什么不使用这种方法？

我只是想避免饼干！另外，如果我将用户详细信息保存在servlet上下文变量中，它会不会与cookie相同，但只是在服务器端？ 这是Cookie最终被使用的原因，他们是客户端？

Answer 1

不，Cookie与Servlet上下文不同。 ServletContext是每个应用程序的单例。不是每个用户。您应该避免使用ServletContext来获取用户特定的信息，因为您还需要关注用户生命周期，例如在他闲置时删除用户信息。

如果你不想使用的Cookie，会话跟踪的替代方案是：

• URL Rewirting
• 隐藏的表单域

但是你可以做的帮助下担保饼干以下属性：

• httponly：在受支持的浏览器上，只有在传输HTTP（或HTTPS）请求时才会使用HttpOnly会话cookie，从而限制其他非HTTP API（如JavaScript）的访问。
• 安全：安全cookie启用了安全属性，并且只能通过HTTPS使用，确保在从客户端传输到服务器时始终加密cookie。
• 域名：他们告诉浏览器，cookies应该只发送回给定域的服务器。
• 路径：他们告诉浏览器，cookie应该只发送回给定路径的服务器。