У меня есть вопрос относительно перехвата переменных сеанса. Предположим, у нас есть веб-приложение, поддерживаемое Spring Security, и я попал на страницу с кучей переменных сеанса, хранящихся на стороне сервера. Теперь переменные сеанса обычно недоступны только со стороны клиента. Есть ли способ для клиента каким-либо образом перенаправить страницу в другое веб-приложение (с вредоносными серверными сценариями), сохраняя при этом текущие переменные сеанса?
У меня сложилось впечатление, что это невозможно без существенных недостатков оригинального веб-приложения.
Во всяком случае, возникает вопрос: возможно ли украсть переменные сеанса веб-приложений, поддерживаемых Spring Security, без внесения каких-либо изменений в содержимое веб-приложения на стороне сервера?
Изменить: использование TLS