jsp 对request.getSession(false)的理解（附程序员常疏忽的一个漏洞）

首先，让我们来理解一下 JSP 对 request.getSession(false) 方法的理解以及可能存在的漏洞。

首先，让我们来理解一下 JSP 对 request.getSession(false) 方法的理解以及可能存在的漏洞。

在 JSP 中，每个请求都会有一个 HttpServletRequest 对象，我们可以利用它来获取 Session 对象。通常，我们使用 request.getSession() 来获取 Session 对象，如果 Session 对象不存在，则会创建一个。而 request.getSession(false) 则会在 Session 对象不存在时返回 null，而不会新建一个。

这种行为，在某些情况下可能会导致安全漏洞。如果我们在使用 request.getSession(false) 时未对返回的 Session 对象是否为空做出判断，而将其直接用于后续操作，则可能会发生漏洞。

例如，我们有一个在线商城网站，用户需要在登录后才能访问个人信息页面。我们可以利用 Session 会话保存用户登录信息，如果用户访问个人信息页面时获取不到 Session 对象，则说明用户未登录，需要跳转到登录页面。

下面是一个示例代码，其中 getLoginUser 方法用于获取登录用户对象：

User loginUser = (User) request.getSession(false).getAttribute("loginUser");
if (loginUser == null) {
    response.sendRedirect("/login.jsp");
    return;
}
// 显示个人信息

然而，如果攻击者使用某种方式伪造请求，将请求中的 Session Id 改为其他用户的 Session Id，就可以在未登录的情况下访问对应用户的个人信息。因为 request.getSession(false) 方法不会创建新的 Session，因此服务器无法判定用户是否已经登录，而会直接返回对应用户的 Session 对象。

为了避免这种漏洞，我们应该总是在使用 request.getSession(false) 方法获取 Session 对象后，对返回的对象是否为空做出判断，只有在返回的 Session 对象不为空时，才进行后续操作。

下面是一个修复后的示例代码，其中增加了对返回的 Session 对象是否为空的判断：

HttpSession session = request.getSession(false);
if (session == null) {
    response.sendRedirect("/login.jsp");
    return;
}
User loginUser = (User) session.getAttribute("loginUser");
if (loginUser == null) {
    response.sendRedirect("/login.jsp");
    return;
}
// 显示个人信息

另外，还有一种常见的漏洞是在使用 request.getSession() 方法获取 Session 对象时，没有设置 Session 的有效期。如果我们没有显式地设置 Session 的有效期，则默认为 30 分钟。攻击者可以利用这个漏洞，在用户长时间未操作的情况下，获取到用户的 Session 对象，从而进行攻击。

为了避免这种漏洞，我们应该在获取 Session 对象后，显式地设置 Session 的有效期，例如：

// 设置 Session 的有效期为 1 小时
request.getSession().setMaxInactiveInterval(3600);