第Springboot如何去掉URL后面的jsessionid目錄如何去掉URL后面的jsessionidurl中有Jsessionid生成的原因解決方式一解決方式二Java關(guān)于jsessionid和URL對(duì)SEO的沖擊安全問題解決之道

如何去掉URL后面的jsessionid

url中有Jsessionid生成的原因

jsessionid是標(biāo)明session的id，它存在于cookie中，一般情況不會(huì)出現(xiàn)在url中，服務(wù)器會(huì)從客戶端的cookie中取出來，但是如果客戶端禁用了cookie的話，就要重寫url了，顯式的將jsessionid重寫到Url中，方便服務(wù)器來通過這個(gè)找到session的id。

如果客戶端請求的cookie中不包含JSESSIONID，服務(wù)端調(diào)用request.getSession()時(shí)就會(huì)生成并傳遞給客戶端，此次響應(yīng)頭會(huì)包含設(shè)置cookie的信息

如果客戶端請求的cookie中包含JSESSIONID，服務(wù)端調(diào)用request.getSession()時(shí)就會(huì)根據(jù)JSESSIONID進(jìn)行查找對(duì)象，如果能查到就返回，否則就跟沒傳遞JSESSIONID一樣；

解決方式一

springBoot2.0之前版本

在.yml配置文件中做如下配置

解決方式二

在啟動(dòng)類中繼承SpringBootServletInitializer，然后重寫這個(gè)方法（此方法在springBoot2.0之前版本沒有起作用，暫時(shí)做記錄）

publicvoidonStartup(ServletContextservletContext)throwsServletException{

super.onStartup(servletContext);

//ThiswillsettouseCOOKIEonly

servletContext.setSessionTrackingModes(

Collections.singleton(SessionTrackingMode.COOKIE)

//ThiswillpreventanyJSonthepagefromaccessingthe

//cookie-itwillonlybeused/accessedbytheHTTPtransport

//mechanisminuse

SessionCookieConfigsessionCookieConfig=

servletContext.getSessionCookieConfig();

sessionCookieConfig.setHttpOnly(true);

}

Java關(guān)于jsessionid和URL

在寫JSP程序時(shí)，經(jīng)常發(fā)現(xiàn)url中有一個(gè)jsessionid參數(shù)，在刷新之后就消失了。一些人認(rèn)為這是個(gè)一個(gè)BUG。

這不是一個(gè)bug。當(dāng)一個(gè)新的session被創(chuàng)建時(shí)，server并不確定客戶端是否支持cookies，所以它生成了一個(gè)cookie，就是URL中jsessionid的值。當(dāng)客戶端在第二次帶著cookie返回時(shí)，服務(wù)器就知道jsessionid不是必須的，所以就會(huì)刪掉它。如果客戶端沒有帶著cookie返回，服務(wù)器就會(huì)繼續(xù)在url中添加jsessionid參數(shù)。

但是現(xiàn)在幾乎很難想象瀏覽器會(huì)不支持cookie。jsessionid參數(shù)也可能會(huì)給SEO和安全帶來一定問題。

對(duì)SEO的沖擊

有些搜索引擎可能會(huì)懲罰（找不到更好的詞形容）那些具有多個(gè)不同url但內(nèi)容相同的網(wǎng)站。因?yàn)閟essionid是唯一的，所以多個(gè)搜索機(jī)器人將返回相同的內(nèi)容但url不同。

這是一個(gè)嚴(yán)重的問題。我們試一下用google搜索inurl:;jsessionid，Google的搜索結(jié)果：About211,000,000results(0.25seconds)

安全問題

在url中包含sessionId不是一個(gè)明智之舉，這將為攻擊者提供便利。

解決之道

不幸的是ServletSpecification和ServletContainers中并未提供一個(gè)標(biāo)準(zhǔn)的方法去禁止在url中帶jsessionid。

不過我們可以通過servletfilter去解決這個(gè)問題。

packagecom.lgete.web.filter;

importjava.io.IOException;

importjavax.servlet.*;

importjavax.servlet.http.*;

*@authorZhuJiaa

*href="mailto:zhujia7895@"rel="externalnofollow"zhujia7895@/a

publicclassURLSessionFilterimplementsFilter{

publicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,

FilterChainchain)throwsIOException,ServletException{

if(!(requestinstanceofHttpServletRequest)){

chain.doFilter(request,response);

return;

HttpServletResponsehttpResponse=(HttpServletResponse)response;

HttpServletResponseWrapperwrappedResponse=newHttpServletResponseWrapper(

httpResponse){

publicStringencodeRedirectUrl(Stringurl){

returnurl;

publicStringencodeRedirectURL(Stringurl){

returnurl;

publicStringencodeUrl(Stringurl){

returnurl;

publicStringencodeURL(Stringurl){

returnurl;

chain.doFilter(request,wrappedResponse);

publicvoidinit(FilterConfigfilterConfig){

publicvoiddestroy(){

}

在web.xml中添加以下內(nèi)容：

filter

filter-nameURLSessionFilter/filter-name

filter-classzj.web.filter.URLSessionFilter/filter-class