url中的jsessionid解释

 
(1)

这是一个保险措施
因为Session默认是需要Cookie支持的
但有些客户浏览器是关闭Cookie的
这个时候就需要在URL中指定服务器上的session标识,也就是5F4771183629C9834F8382E2 3BE13C4C
用一个方法(忘了方法的名字)处理URL串就可以得到这个东西
这个方法会判断你的浏览器是否开启了Cookie,如果他认为应该加他就会加上去

(2)

链接1:wapbrowse.jsp?curAlbumID=9 ;
链接2:wapbrowse.jsp; jsessionid=5AC6268DD8D4D5D1FDF5D41E 9F2FD960?curAlbumID=9;
这两个链接是从模拟器运行时生成的source中拷贝过来的,两个链接都是指向wapbrowse.jsp,链接1由于不包含 jsessionid,所以在wapbrowse.jsp中变量为null,通过链接2打开wapbrowse.jsp可以正常访问session 变量

(3)

URL重写功能,为了防止一些用户把Cookie禁止而无法使用session而设置的功能. jsessionid后面的一长串就是你服务器上的session的ID号,这样无需cookie也可以使用session.


(4)

http本身是无session的,无法跟踪客户端的信息,换句话说:http协议不管是谁联接自己。
为了实现session,必须有浏览器支持。浏览器可以用cookie存储session,这是最通用的做法。
但是,如果我自己写一个完全符合http协议的浏览器,但是不配合服务器的session要求,那么服务器就无法产生session。
好在现在的浏览器都支持session要求,即使关闭了cookie,浏览器也会向服务器传递sessionid,这个id是存储在浏览器的内存空间中的,不保存在硬盘cookie中。


(5)

sessionid是作为一个临时cookie放在浏览器端的。

session的具体信息放在服务器端。

每次浏览器发出的请求,都会在http header里 带上 sessionid来标识自己。


既然用Struts,顺便再把JSTL用上,

下面一个非常有用的标签:


清单 12. 操作的语法
var="name" scope="scope">

...





URL 重写是由 操作自动执行的。如果 JSP 容器检测到一个存储用户当前会话标识的 cookie,那么就不必进行重写。但是,如果不存在这样的 cookie,那么 生成的所有 URL 都会被重写以编码会话标识。注:如果在随后的请求中存在适当的 cookie,那么 将停止重写 URL 以包含该标识。


参考:http://www-900.ibm.com/developerWorks/cn/java/j-jstl0318/index.shtml

(6)

方法一:url中紧跟servlet/jsp文件名加; jsessionid=sessionId,其中sessionId由HttpSession.getId()得到,如http://localhost:8080/aaa/bbb.jsp; jsessionid=saldjfsdflsaeir234?para=1¶2=2

方法二:在application(ServletContext)里保存一个session管理器HashMap:sessionId---sessionRef,这样可以在所有的servlet/jsp里调用,这需要在url里将sessionId以参数形式传递,如http://localhost:8080/aaa/bbb.jsp?sessionId=saldjfsdflsaeir234?para=1¶2=2,在服务器端用request.getParameter("sessionId")获取

(7)

session是在服务器端保存。服务器根据url请求中的session_id来查找对应的session。

以一个bbs为例,网站需要根据每个请求url获取用户的信息,如果以cookie方式,用户信息全部是存放在cookie中的,这样可能会不安全;如果以session方式,用户信息可以存放在服务器端,服务器只要从http请求中得到session_id,就可以得到存放在session中的用户信息了,这样安全性比较高。session在服务器中的表现方式依服务器而定,可能是写到临时文件中,也可能直接放在内存中。

服务器从http请求中得到session_id的方式有两种:cookie和url重写。如果客户端启用cookie,那么session_id可以保存在cookie中;如果禁用cookie,就用url重写方式,在url中添加. jsessionid=xxxxx参数部分,服务器会试图从url中得到. jsessionid参数作为session_id.

(8)

cookie 是保存在客户端的文本格式数据,session是客户端登录到应用,由服务器为该客户端建立的唯一的标识,可以在session里面保存该客户端的数据比如说用户帐号。
一般cookie可以用来保存你的登录帐号和密码,在你登录到应用服务上,自动添加到登录界面或直接发送到服务器上进行登录,这就是你经常能在论坛上看到的你的登录信息保存一年的选项 的实现方式


(9)

在http的报文格式里面cookie和session是在同一个包文位置上的
如果ie发现包文里面包含cookie/session的信息的话,他会根据安全级别来决定是否保存相关信息,比如,如果安全机制允许使用cookie那么ie将把cookie的信息保存到临时文件里面,每次在请求服务器文件的时候会把收到的session的信息加入到请求的报文里面,这就是session保存信息的原理。如果安全机制不允许使用cookie的话,虽然ie收到了cookie和session的信息,那么cookie的信息不会被写入临时文件,当ie再次请求服务器文件的时候,也不会把收到的session的信息加入到请求报文里面,服务器就无法知道session的信息了。
 
文章来源: http://sizhefang.javaeye.com/blog/25294  作者:sizhefang
在Cookie删除`jsessionID`属性通常是为了隐私保护或者防止跨站跟踪。由于`jsessionID`是服务器用于识别用户会话的标识,直接从浏览器的Cookie数据移除它通常是不可能的,因为这是由服务器生成并在响应头设置的。 如果你想阻止浏览器发送这个特定的Cookie,可以采取以下步骤: 1. **禁用自动提交**: 如果你在前端,可以在JavaScript手动管理`XMLHttpRequest`或`fetch`请求时,避免将`jsessionID`作为默认的Cookie一起发送。例如,在发送Ajax请求之前检查并过滤掉包含该字段的Cookie。 ```javascript function sendRequest(url) { const cookies = document.cookie.split(';'); const jsessionIdCookie = cookies.find(cookie => cookie.startsWith('jsessionID=')); if (jsessionIdCookie) { const headers = new Headers(); headers.delete('Cookie'); // 删除所有Cookie headers.append('Cookie', jsessionIdCookie); // 只保留需要排除的Cookie fetch(url, { headers }); } else { fetch(url); } } ``` 2. **后端处理**: 如果你有权限控制服务器端,可以在后端处理阶段忽略这个Cookie,或者设置其过期日期使其失效。 然而,这并不能阻止服务器在接收到请求后基于其他信息识别用户的会话,因为`jsessionID`可能会通过其他手段在通信过程传递。对于敏感应用,建议采用更安全的身份验证策略。如果你想要完全清除服务器关于用户的信息,可能需要联系网站管理员讨论安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值