跨域保持sessionid的问题

https://my.oschina.net/u/3471662/blog/1622348

我是根据这个来搞得 但是配置完后

image.png

跨域的都不生效了  所以 现在这个版本怎么解决呢

@jfinal

评论区

JFinal

2018-11-16 13:56

session 是与域名挂钩的,跨域以后 session 当然会没有, 也必须要没有,因为 session 值通常是客户端访问服务端时的身份证明,如果跨域后 session 仍然有的话,就会将 session 暴露给第三方跨域过去的那台服务器,那么别人也就可以拿到你的 session 值冒充你的身份访问了

这个本质能不能保持的问题,而是一定不能保持的问题

假定要跨去的域是你自己的服务器,是可以信任的服务器,为此服务器分配一个相同域名的二级域名即可

参考一下 java Cookie 的 setDomain(...) 方法的用法

Starke

2018-11-16 20:01

redis 实现session共享