我使用的树脂应用服务器request.getSession.invalidate(); reguest.getSession(真)无法正常工作,同时使用树脂其不复位会话ID。
另外,我无法使用request.changeSessionId()作为树脂版是不能够使用JavaEE7库。
请分享你如何解决会话固定用树脂意见
Answer 1:
树脂4.0.x版没有实现的Servlet 3.1 API。
Resin提供重用会话ID的配置选项,可以帮助控制会话cookie行为。
http://caucho.com/resin-4.0/reference.xtp#session-config
文章来源: resolving session fixation bug fix in resin app server
