【SpringSecurity系列（十六）】会话固定攻击与防御

《深入浅出Spring Security》书籍发布

《深入浅出Spring Security》一书由清华大学出版社出版发行，为那些想深入学习Spring Security的读者提供了宝贵的资源。

HttpSession简介与会话固定攻击

作者先介绍了HttpSession的概念和工作机制，强调了浏览器关闭并不会导致服务端的HttpSession失效，而是通过关闭浏览器导致的sessionid丢失让用户感觉到session失效。然后引入了会话固定攻击（session fixation attack）的概念，描述了攻击者如何利用一个不变的sessionid冒充受害者进行攻击。

Spring Security中防御会话固定攻击

针对会话固定攻击，Spring Security提供了防御策略，包括StrictHttpFirewall防火墙拒绝带有分号的请求，设置HttpOnly属性防止通过XSS攻击获取会话信息，以及在用户登录成功后更改sessionid。作者指出，Spring Security的默认配置已经包含了必要的防御措施，因此开发者无需额外配置即可防范会话固定攻击。

总结

通过使用Spring Security，开发者可以轻松防御会话固定攻击，体现了Spring Security在网络安全方面的强大功能。作者鼓励读者关注这一主题，并欢迎加入微信群交流Web安全。