<h2 class="title" style="clear: both;">1. 攻击场景

session fixation会话伪造攻击是一个蛮婉转的过程。

比如，当我要是使用session fixation攻击你的时候，首先访问这个网站，网站会创建一个会话，这时我可以把附有jsessionid的url发送给你。

你使用这个网址访问网站，结果你和我就会公用同一个jsessionid了，结果就是在服务器中，我们两人使用的是同一个session。
这时我只要祈求你在session过期之前登陆系统，然后我就可以使用jsessionid直接进入你的后台了，然后可以使用你在系统中的授权做任何事情。
简单来说，我创建了一个session，然后把jsessionid发给你，你傻乎乎的就使用我的session进行了登陆，结果等于帮我的session进行了授权操作，结果就是我可以使用一开始创建的session进入系统做任何事情了。
与会话伪造的详细信息可以参考。

解决会话伪造">


解决会话伪造



解决session fix的问题其实很简单，只要在用户登录成功之后，销毁用户的当前session，并重新生成一个session就可以了。
Spring Security默认就会启用session-fixation-protection，这会在登录时销毁用户的当前session，然后为用户创建一个新session，并将原有session中的所有属性都复制到新session中。
如果希望禁用session-fixation-protection，可以在http中将session-fixation-protection设置为none。
    
    
    
        
session-fixation-protection的值共有三个可供选择，none，migrateSession和newSession。默认使用的是migrationSession，如同我们上面所讲的，它会将原有session中的属性都复制到新session中。上面我们也见到了使用none来禁用session-fixation功能的场景，最后剩下的newSession会在用户登录时生成新session，但不会复制任何原有属性。