Session Error问题的解决办法.docVIP

Session Error问题的解决办法 问题情境再现 使用的Dwr版本2.0 在一台服务器上的不同端口上部署了同样的程序(tomcat 5.5.28 80端口,tomcat 5.5.28 8080端口) 使用浏览器先后登陆80，8080端口的程序，都不注销，保持会话状态。 然后浏览器切换到8080的一个使用了DWR ajax功能的页面上，浏览器弹出Session Error的提示。 但是，如果切换到80端口的程序上，同样进入到一个使用了dwr ajax技术的页面上，没有Session Error的提示。 问题诊断： 初步怀疑浏览器的问题。 检查浏览器的cookie中的jsessionid的值。因为我们知道，Http协议本身是无状态的，服务器标识同一次会话的过程就是借助于cookie中的某个值或者通过url重写的方式来实现。这也是jsp程序的session原理。 检查发现：cookie中存在2个sessionid项，sessionid的值不同。 因为站点地址相同，url也相同(除了端口不同外),因此，浏览器误认为是同一个程序，把缓存的cookie项都发送回了服务器。 然后再观测ajax请求的值,即http post或get的参数值如下： callCount=1 page=/web/initRolePermission.action httpSessionId=3F5F7D7C14D40667FF126DC6F9038EE5 scriptSessionId=5B2B53E E78C92393E CA3859 c0-scriptName=adminRolePerAction c0-methodName=findPermission c0-id=0 c0-param0=string：181 batchId=0 在这里，务必注意 httpSessionId=3F5F7D7C14D40667FF126DC6F9038EE5, 实际上，一般情况下，httpSessionId和cookie中的jsession值是相同的。 至于dwr组件中，为什么要加上httpSessionId,这是因为dwr开发团队考虑到了跨站攻击问题。因此，通过验证dwr ajax请求中的httpSessionId值， 来防止跨站攻击。 在重现，诊断问题过程中，发现Session Error的信息是来自dwr ajax请求的响应中，抛出的异常是java.lang.SecurityException, 因此可以怀疑这个错误信息是源于dwr源代码中的。 用Eclipse打开下载到的dwr源代码。搜索Session Error的信息，然后在org.directwebremoting.dwrp.Batch类中找到了,其部分代码如下： private void checkNotCsrfAttack(HttpServletRequest request,String sessionCookieName) { //A check to see that this isnt acsrf attack ////if(request.isRequestedSessionIdValid()request.isRequestedSessionIdFromCookie()) { String headerSessionId=request.getRequestedSessionId()； if(headerSessionId.length()0) { String bodySessionId=getHttpSessionId()； //Normal case；if same session cookie is supplied by DWR and //in HTTP header then all is ok if(headerSessionId.equals(bodySessionId)) { return； } //Weblogic adds creation time to the end of the incoming //session cookie string(even for request.getRequestedSessionId()). //Use the raw cookie instead Cookie cookies=request.getCookies()； for(int i=0；i cookies.length；i++) { Cookie cookie=cookies[i]； if(cookie.getName().equals(sessionCookieName) cookie.getValue().equals(bodySessionId)) { ret