当前位置：首页 > article >正文

我让 Claude 和 Codex 同时审计个模块，它们只在个上达成共识砸

article 2026/4/12 18:57:18

整体排查思路我们的目标是验证以下三个环节是否正常登录成功时服务器是否正确生成了Session并返回了包含正确 JSESSIONID的Cookie给浏览器。浏览器端浏览器是否成功接收并存储了该Cookie。后续请求浏览器在执行查询等操作时是否始终在请求头中携带了这个Cookie。第一步浏览器端跟踪客户端验证这是最直接、最容易操作的第一步可以由开发或运维人员在问题电脑上进行。一、跟踪会话标识Cookie的接收与存储开启浏览器开发者工具使用出现问题的浏览器如奇安信、Chrome按 F12打开开发者工具。切换到Network/网络面板勾选 Preserve log(保留日志)? 复选框防止页面跳转时日志被清空。清空Cookie可选为了纯净的测试在开发者工具的 Application应用或 Storage存储标签页下找到 Cookies选中当前系统地址的Cookie将其删除。这可以模拟一次全新的登录。执行登录在Network面板中找到登录请求通常是 login或 j_spring_security_check之类的POST请求。重点查看登录请求的响应点击这个登录请求查看 Response Headers响应头。你应该能看到一个 Set-Cookie头内容类似于 JSESSIONIDABCD1234...; Path/; HttpOnly。记录下这个 JSESSIONID的值。验证Cookie存储切换到 Application/应用标签页。在左侧找到 Cookies- http://10.15.9.106。检查是否存在一个名为 JSESSIONID的Cookie其值是否与刚才在响应头中看到的一致。至此我们验证了环节1和2。如果这里就出问题那么根源在服务器响应或浏览器安全策略上。二、跟踪后续请求的Cookie携带情况进行正常操作登录成功后在系统内进行一些不会触发闪退的简单操作比如点击菜单。观察请求在Network面板中观察这些操作触发的Ajax或页面请求。检查请求头随机点击几个后续请求查看它们的 Request Headers请求头。必须找到一个 Cookie:头其内容应包含 JSESSIONIDABCD1234...即登录时设置的那个值。确保每个请求都携带了这个Cookie。触发闪退关键步骤进行那个已知会引发闪退的查询操作。密切观察Network面板在点击“查询”按钮后瞬间发出的请求。重点检查触发闪退的那个特定查询请求情况A正常该请求的 Request Headers里正常携带了 JSESSIONID但服务器返回了一个 302 Found状态码Location指向登录页或者直接返回了登录页的HTML状态码200。这说明问题出在服务器端服务器主动废弃了会话。情况B异常该请求的 Request Headers里没有? Cookie头或者 JSESSIONID的值变成了空、错误或一个新的值。这说明问题出在浏览器端Cookie在发送前丢失了。第二步服务器端跟踪代码与日志层面如果浏览器端跟踪指向了“情况A”Cookie携带正常但服务器返回登录页那么问题根因在服务器内部。一、启用详细日志记录最有效的方法如果这个老系统可能日志不全我们需要临时增加会话跟踪日志。1.在web.xml中配置Session监听器创建一个类实现 HttpSessionListener和 HttpSessionAttributeListener接口并部署到生产环境。这个类可以记录Session的创建、销毁和属性变化。import javax.servlet.http.HttpSessionEvent;import javax.servlet.http.HttpSessionAttributeListener;import javax.servlet.http.HttpSessionBindingEvent;import java.util.logging.Logger; // 或使用Log4j、Slf4jpublic class SessionDebugListener implements HttpSessionListener, HttpSessionAttributeListener {private static final Logger logger Logger.getLogger(SessionDebugListener.class.getName());Overridepublic void sessionCreated(HttpSessionEvent se) {logger.info( Session被创建: ID se.getSession().getId() 时间 new java.util.Date());}Overridepublic void sessionDestroyed(HttpSessionEvent se) {// 这是最关键的信息会话何时、为何被销毁logger.info( Session被销毁: ID se.getSession().getId() 时间 new java.util.Date() 。最后访问时间: new java.util.Date(se.getSession().getLastAccessedTime()));// 可以在这里打印堆栈信息看是哪个线程触发了销毁Thread.dumpStack();}Overridepublic void attributeAdded(HttpSessionBindingEvent event) {if (user.equals(event.getName())) { // 监听用户登录属性logger.info( 用户登录成功User对象被存入Session。 SessionID event.getSession().getId() , User event.getValue());}}Overridepublic void attributeRemoved(HttpSessionBindingEvent event) {if (user.equals(event.getName())) { // 监听用户登出属性logger.info( 用户登出User对象从Session移除。 SessionID event.getSession().getId());}}}在 web.xml中注册com.yourcompany.SessionDebugListener2.在过滤器中记录请求在一个全局的Filter中如果已有则修改它记录每个请求的Session状态。public class SessionTrackingFilter implements Filter {Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {HttpServletRequest req (HttpServletRequest) request;HttpServletResponse res (HttpServletResponse) response;String sessionId req.getRequestedSessionId();boolean sessionValid req.isRequestedSessionIdValid();logger.info(请求进入: URI req.getRequestURI() , SessionID sessionId , Session是否有效 sessionValid);chain.doFilter(request, response);// 请求处理后再次检查Session状态sessionValid req.isRequestedSessionIdValid();logger.info(请求离开: URI req.getRequestURI() , Session是否有效 sessionValid);}}部署这些监听器和过滤器后重现闪退问题。然后立即查看服务器日志寻找 Session被销毁这条关键日志。它会告诉你Session被销毁的精确时间结合堆栈信息就能定位到是哪个代码路径或配置触发了销毁。二、分析服务器线程栈如果怀疑是会话锁超时需要在闪退发生时立刻获取服务器的线程堆栈快照jstack 。分析快照看是否有线程长时间持有Session锁状态为 RUNNABLE且正在执行查询SQL而其他线程在等待这个锁状态为 BLOCKED。总结跟踪流程一览表步骤跟踪点方法期望结果异常结果与含义1?浏览器接收Cookie?F12 - Network - 查看登录请求的 Set-Cookie响应头收到正确的 JSESSIONID未收到服务器响应问题2?浏览器存储Cookie?F12 - Application - Cookies存储了正确的 JSESSIONID未存储浏览器安全策略阻止3?后续请求携带Cookie?F12 - Network - 查看查询请求的 Cookie请求头携带了登录时的 JSESSIONID未携带/值错误浏览器端Cookie丢失4?服务器处理请求?查看服务器日志/监听器日志Session有效请求正常处理日志显示Session被销毁服务器端主动废弃会话5?服务器并发情况?分析线程堆栈快照 (jstack)无长时间锁等待有线程因等待Session锁而阻塞会话锁超时问题请按照这个流程进行操作很大概率能直接定位到问题发生的具体环节。先从浏览器端跟踪开始这通常能给出最直接的线索。仄欠人屎

我让 Claude 和 Codex 同时审计个模块，它们只在个上达成共识砸

相关文章：

我让 Claude 和 Codex 同时审计个模块，它们只在个上达成共识砸

m4s-converter终极指南：5秒将B站缓存视频永久保存为MP4

Qwen3-14B镜像免配置部署教程：Python 3.10+PyTorch 2.4开箱即用指南

数字后端设计中的Floorplan实战：从基础到优化

使用PDF-Extract-Kit-1.0构建文档问答系统

给硬件工程师讲明白：为什么DDR读写时DQS和DQ要对齐两次？

Xcode开发者福音：Baidu Comate 3.5S实战体验（附iOS项目避坑指南）

PvZ Toolkit：植物大战僵尸PC版终极修改工具完全指南

手机号查询QQ号终极指南：3步实现Python开源工具快速找回账号

EVA-01部署避坑指南：环境配置、模型下载、常见问题一站式解决

SenseVoiceSmall语音识别5分钟快速部署：一键开启多语言情感识别

RK3588 NPU实战：如何将PC训练的人脸识别模型（ONNX）高效部署到边缘端？

【大模型联邦学习落地实战指南】：SITS2026权威演讲深度拆解，3大行业真实案例+5步部署避坑清单

【限时解密】2026奇点大会闭门报告：3家头部企业KG-LLM联合训练成本直降67%的4个工程拐点

为什么92%的大模型项目在UAT阶段暴雷？揭秘测试用例生成缺失的3个工程化断层与2套已验证CI/CD嵌入方案

Windows 11系统性能优化深度解析：Win11Debloat技术架构与部署策略

SITS2026圆桌深度复盘：大模型工程化人才能力图谱（2024-2026紧缺岗位胜任力三维模型首次公开）

【仅限前500份】2026奇点大会Function Calling工程手册（含OpenAPI→ToolSpec自动转换脚本+17个真实API适配案例）

Slick轮播进阶玩法：用filter方法实现动态内容筛选（含电商案例）

ESP32-S3双核火力全开：手把手教你用FreeRTOS创建并行任务（附完整代码）

10_TiDB AI生态集成与行业实践案例

冷启动耗时从12s降至1.7s，我们如何用分层缓存+动态权重预热重构大模型服务SLA，关键代码已开源

2025年人力资源市场趋势分析报告

如果人类不存在，人形机器人可能是一种新形态的智慧生命——那将是人类的后继者

Spyglass CDC脚本实战：从环境配置到报告生成的完整流程解析

KrillinAI：AI视频翻译与配音的终极解决方案，让多语言内容创作触手可及

终极命令行工具指南：如何高效使用IPATool下载iOS应用包

API调试工具横向评测：Apifox、Reqable、Bruno等6款工具实战对比

D3KeyHelper终极指南：5分钟掌握暗黑3自动化技能连点技巧

VSCode编码救星：一键搞定C语言和Verilog的GB2312乱码问题（附完整settings.json配置）