摘要：1：用户名和密码认证通过后，必须更换会话标识，以防止会话固定（session fixation）漏洞。 实施指导： 在用户名和密码认证通过后增加以下两行代码： request.getSession().invalidate(); request.getSession(); ... 阅读全文