zoukankan      html  css  js  c++  java
  • 一个session id覆盖的小问题

    新项目线上部署,查看日志时,看到一个空指针异常。然后看到异常位置,跑到gitlab上搜到这个代码查看:

    HttpSession session = request.getSession(false);
    if (session == null || 
    	!(session.getAttribute(Constants.VERCODE).equals(verCode))) {
    
    .....
    

    这是把验证码放到session里了,然后从session里获取进行验证。但业务开发人员没考虑获取不到验证码的场景,然后……空指针了。

    一个小问题,但为什么会这里获取不到验证码,为什么没有测试出来?

    看完代码,继续看了下日志,获取验证码接口与登录接口的sessionId不一致。我们sessionId是存放在cookie里的,前端没做任何操作。

    打开网站试了下登录,触发了这个空指针异常。。。但再次登录就正常,有点意思了。

    然后看了下前端请求调用,发现了端倪。

    会话正常流程是,前端初次请求后台接口,cookie里没有sessionId,后台初始化一个,并存放到cookie里返回。前端第二次请求的时候,携带这个cookie中的sessionId进行访问。

    抓请求的时候发现,初次打开页面时,前端发起了两次后台请求。一个请求是获取验证码,另一个请求是查询一些公告信息。

    两个接口都是以没有sessionId的状态进行请求,所以后台为两个接口都初始了session,不同的sessionId,验证码接口先返回,信息查询接口后返回,覆盖了浏览器cookie中的值。

    这次,要不是后台开发的不严谨,估计只会以为自己是验证码输入错误而已……没料到这是一个必现的BUG。

  • 相关阅读:
    使用Oracle Wrap工具加密你的代码
    Oracle wrap 和 unwrap( 加密与解密) 说明
    oracle_base和oracle_home 的区别
    Oracle的SOME,ANY和ALL操作
    Oracle自主事务处理
    oracle读写文件--利用utl_file包对磁盘文件的读写操作
    Oracle中序列的使用
    INSTEAD OF触发器
    DBMS_LOB包的使用
    Oracle入门4-REF Cursor
  • 原文地址:https://www.cnblogs.com/coderzl/p/7521328.html
Copyright © 2011-2022 走看看