url中的jsessionid所引起的问题和解决

jsessionid所引起的问题

在Spring MVC当使用RedirectView或者”redirect:”前缀来做重定向时,Spring MVC最后会调用:
response.sendRedirect(response.encodeRedirectURL(url));

对于IE来说,打开一个新的浏览器窗口,第一次访问服务器时,encodeRedirectURL()会在url后面附加上一段jsessionid,如果初始的url为”http://www.sina.com.cn“,最终得到的url为”http://www.sina.com.cn;jsessionid=2jcligmgi6fh“。

这是典型的Java做事的方式,其他语言的服务器端平台并不会这样做。这个jsessionid很多时候会引起严重的问题,例如,如果你使用上述带有jsessionid的url直接访问新浪的网站,IE会向你报告:找不到服务器。

解决方法:
1. 不通过Spring MVC做重定向,自己直接调用:
response.sendRedirect(url);
return null; //告诉Spring MVC我已经完成了处理

2. 修改Spring MVC的代码,将:
response.sendRedirect(response.encodeRedirectURL(url));
改为:
response.sendRedirect(url);

3. encodeRedirectURL()仅在无法确定浏览器是否支持cookie的时候才会在url后面附加上jsessionid,如果它能找到一个jsessionid的cookie,它就认为浏览器是支持cookie的。因此可以自己创建一个jsessionid的cookie来欺骗encodeRedirectURL()。
Cookie cookie = new Cookie(“jsessionid”, “2jcligmgi6fh”);
cookie.setMaxAge(Integer.MAX_VALUE);
response.addCookie(cookie);
然后再调用Spring MVC的重定向功能就没有问题了:
return new ModelAndView(“redirect:”+url);

无疑,这里最好的方法是第3种方法。

 

转向相同的域,因为之前服务器已经设置了jsessionid这个cookie,并且可以得到这个cookie,因此就不必像上面第一次那样采用url重写的方式,url后面不会附加上jsessionid。因此当你的应用只会转向相同的域时,直接使用Spring MVC的重定向(实际上是最后使用encodeRedirectURL())不会有任何问题。

相关资料:
Spring MVC RedirectView appends jsessionid:
http://robobruin.blogspot.com/2005/12/spring-mvc-redirectview-appends.html

JSESSIONID considered harmful:
http://randomcoder.com/articles/jsessionid-considered-harmful

Cookie和会话状态的工作原理及Cookie欺骗|Cookie,会话状态,Cookie欺骗:
http://www.yuanma.org/data/2006/0908/article_1489.htm

 

 

jsessionid的危害及去除解决方案,原文:http://randomcoder.com/articles/jsessionid-considered-harmful 

其实就是加个filter截取所有URL并进行重写: 

public class DisableUrlSessionFilter implements Filter {  
  
    @Override  
    public void destroy() {  
    }  
  
    @Override  
    public void doFilter(ServletRequest request, ServletResponse response,  
            FilterChain chain) throws IOException, ServletException {  
        if (!(request instanceof HttpServletRequest)) {  
            chain.doFilter(request, response);  
            return;  
        }  
        HttpServletRequest httpRequest = (HttpServletRequest) request;  
        HttpServletResponse httpResponse = (HttpServletResponse) response;  
        if (httpRequest.isRequestedSessionIdFromURL()) {  
            HttpSession session = httpRequest.getSession();  
            if (session != null)  
                session.invalidate();  
        }  
        HttpServletResponseWrapper wrappedResponse = new HttpServletResponseWrapper(  
                httpResponse) {  
            public String encodeRedirectUrl(String url) {  
                return url;  
            }  
  
            public String encodeRedirectURL(String url) {  
                return url;  
            }  
  
            public String encodeUrl(String url) {  
                return url;  
            }  
  
            public String encodeURL(String url) {  
                return url;  
            }  
        };  
        chain.doFilter(request, wrappedResponse);  
    }  
  
    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {  
    }  
  
  
}  

然后是web.xml的配置: 

<!--to disable jsessionid in url  -->  
<filter>  
  <filter-name>  
    DisableUrlSessionFilter  
  </filter-name>  
  <filter-class>  
   com.abc.web.filter.DisableUrlSessionFilter  
  </filter-class>  
</filter>  
  
<filter-mapping>  
  <filter-name>DisableUrlSessionFilter</filter-name>  
  <url-pattern>/*</url-pattern>  
</filter-mapping>  

 

http://stackoverflow.com/questions/5276634/remove-jsessionid-in-url-rewrite-in-spring-mvc/5276689这个地址也可以参考一下

    原文作者:Franco蜡笔小强
    原文地址: https://blog.csdn.net/w372426096/article/details/100572339
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞