如果我听起来很糟糕,我道歉。
我有一个xyz.war
,做一些身份验证,并设置一个cookie(与HttpOnly
设置,所以我不能通过javascript过期),以便当用户登录下次会话维护。现在,假设我可以访问托管xyz.war
的Tomcat,我如何编写一个可以expire/delete
cookie的Java程序呢?我可以创建java项目的.war
,并将其托管在同一个Tomcat中,并通过api从客户端访问它。
您将使xyz应用程序中的会话无效。第三方删除cookie(从而能够修改)将是一个安全漏洞。