Java中关于jsessionid和URL

最新推荐文章于 2022-01-29 13:18:31 发布
最新推荐文章于 2022-01-29 13:18:31 发布
阅读量1.8k 收藏
点赞数
文章标签: Java中关于jsessionid和URL session会话 浏览器服务器 javawebjsp cookie

在写JSP程序时,经常发现url中有一个jsessionid参数,在刷新之后就消失了。一些人认为这是个一个BUG。

这不是一个bug。当一个新的session被创建时,server并不确定客户端是否支持cookies,所以它生成了一个cookie,就是URL中jsessionid的值。当客户端在第二次带着cookie返回时,服务器就知道jsessionid不是必须的,所以就会删掉它。如果客户端没有带着cookie返回,服务器就会继续在url中添加jsessionid参数。

但是现在几乎很难想象浏览器会不支持cookie。jsessionid参数也可能会给SEO和安全带来一定问题。

对SEO的冲击

有些搜索引擎可能会惩罚(找不到更好的词形容)那些具有多个不同url但内容相同的网站。因为sessionid是唯一的,所以多个搜索机器人将返回相同的内容但url不同。

这是一个严重的问题。我们试一下用google搜索inurl:;jsessionid,Google的搜索结果:About 211,000,000 results  (0.25 seconds) 

安全问题

在url中包含sessionId不是一个明智之举,这将为攻击者提供便利。

解决之道

不幸的是Servlet Specification和Servlet Containers中并未提供一个标准的方法去禁止在url中带jsessionid。

不过我们可以通过servlet filter去解决这个问题。

package com.lgete.web.filter;
 
import java.io.IOException;
 
import javax.servlet.*;
 
import javax.servlet.http.*;
 
/**
 * @author Zhu Jia <a
 *         href="mailto:zhujia7895@gmail.com">zhujia7895@gmail.com</a>
 * 
 */
public class URLSessionFilter implements Filter {
 
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
 
        if (!(request instanceof HttpServletRequest)) {
 
            chain.doFilter(request, response);
 
            return;
 
        }
 
        HttpServletResponse httpResponse = (HttpServletResponse) response;
 
        HttpServletResponseWrapper wrappedResponse = new HttpServletResponseWrapper(
                httpResponse) {
 
            public String encodeRedirectUrl(String url) {
 
                return url;
 
            }
 
            public String encodeRedirectURL(String url) {
 
                return url;
 
            }
 
            public String encodeUrl(String url) {
 
                return url;
 
            }
 
            public String encodeURL(String url) {
 
                return url;
 
            }
 
        };
 
        chain.doFilter(request, wrappedResponse);
 
    }
 
    public void init(FilterConfig filterConfig) {
 
    }
 
    public void destroy() {
 
    }
 
}

在web.xml中添加以下内容:

<filter>     
    <filter-name>URLSessionFilter</filter-name>
    <filter-class>zj.web.filter.URLSessionFilter</filter-class>
</filter>
 
<filter-mapping>
    <filter-name>URLSessionFilter</filter-name>    
    <url-pattern>/*</url-pattern>
</filter-mapping>

程宇寒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
获取JsessionId
03-24
重定义URL 使其直接进去网页 不用登录 用于:邮件链接直接进入网站
javasession 请求_JavaWeb请求与响应 Cookie&Session
weixin_39686048的博客
02-28 698
请求行:①是请求方法,GET和POST是最常见的HTTP方法,除此以外还包括DELETE、HEAD、OPTIONS、PUT、TRACE。②为请求对应的URL地址,它和报文头的Host属性组成完整的请求URL。③是协议名称及版本号。请求头:④是HTTP的报文头,报文头包含若干个属性,格式为“属性名:属性值”,服务端据此获取客户端的信息。与缓存相关的规则信息,均包含在header请求体:⑤是报文体,...
JAVA-WEB】在url上追加sessionid
weixin_30411819的博客
01-10 378
HttpSession session = request.getSession(); url = url+";jsessionid="+session.getId();    转载于:https://www.cnblogs.com/zhangjk1993/p/4214877.html
java配合js在前台获取jsessionid
热门推荐
hwm的专栏
10-19 3万+
浏览器服务器之间的每一个回话都有一个session,session id 是位置标志,在java环境,这个session的 id 就叫做jsessionid。 可以直接session获取,比如String jsessionid = request.getSession.getId(); 开启一段新的回话时,服务器会把jsessionid传到浏览器浏览器存在cookie
网络安全风险感知和发掘,练习题
g5703129的博客
03-28 2万+
一、单项选择题 1. BurpSuite插件支持哪两种编程语言?() A.C#、Java B.Java、Python C.Ruby、Perl D.PHP、Java 2. HTTP请求,设置()请求方法可获取服务器的应用服务信息。 A.Head B.Trace C.POST D.OPTIONS 3. UNIX系统用户的有效用户组是() A.运行时是不可变 B.任意...
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
java url后面带sessionid_urljsessionid的理解
m0_46162539的博客
01-29 1855
(1) 这是一个保险措施 因为Session默认是需要Cookie支持的 但有些客户浏览器是关闭Cookie的 这个时候就需要在URL指定服务器上的session标识,也就是5F4771183629C9834F8382E23BE13C4C 用一个方法(忘了方法的名字)处理URL串就可以得到这个东西 这个方法会判断你的浏览器是否开启了Cookie,如果他认为应该加他就会加上去 (2) 链接1:wapbrowse.jsp?curAlbumID=9 ; 链接2:wapbrowse.jsp;js
Java jsessionid in URL
weixin_34198881的博客
06-04 260
在写JSP程序时,经常发现url有一个jsessionid参数,在刷新之后就消失了。一些人认为这是个一个BUG。 这不是一个bug。当一个新的session被创建时,server并不确定客户端是否支持cookies,所以它生成了一个cookie,就是URLjsessionid的值。当客户端在第二次带着cookie返回时,服务器就知道jsessionid不是必须的,所以就会删掉它。如...
SpringBoot集成Thymeleaf,自动在请求URL后加了jsessionid
zkcJava的博客
09-01 2419
Thymeleaf自动在URL后加了;jsessionid=的问题 今天在使用Thymeleaf生成HTML文件时,发现某些情况下生成的文件内js、css、图片等资源URL后面被添加上了 ;jsessionid=… 的后缀,导致访问404,HTML页面也无法正确的显示和加载。 问题场景 我在集成了Thymeleaf的Spring Boot项目,定义了一个 .html 模板文件,并通过以下方式引用了一个css资源: <link rel="stylesheet" type="text/css" th:h
jsessionid所引起的问题 和解决
12-13 5925
jsessionid所引起的问题在Spring MVC当使用RedirectView或者"redirect:"前缀来做重定向时,Spring MVC最后会调用:response.sendRedirect(response.encodeRedirectURL(url));对于IE来说,打开一个新的浏览器窗口,第一次访问服务器时,encodeRedirectURL()会在url后面附加上一段jsess
javaCookie被禁用后Session追踪问题
01-01
一.服务器端获取Session对象依赖于...Java给出了再所有的路径的后面拼接JSESSIONID信息。 在 Session1Servlet,使用response.encodeURL(url) 对超链接路径拼接 session的唯一标识 // 当点击 的时候跳转到 sess
tomcat修改jsessionidcookie的名称
04-14
tomcat修改jsessionidcookie的名称
android获取jsessionId和发送jsessionId
05-30
android获取jsessionId和发送jsessionId
node-v9.6.0-x86.msi
04-29
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Python基于机器学习的分布式系统故障诊断系统源代码,分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别
04-29
基于技术手段(包括但不限于机器学习、深度学习等技术)对分布式系统的故障数据进行分析,设计故障诊断模型,高效地分析并识别故障类别,实现分布式系统故障运维的智能化,快速恢复故障的同时大大降低分布式系统运维工作的难度,减少运维对人力资源的消耗。在分布式系统某个节点发生故障时,故障会沿着分布式系统的拓扑结构进行传播,造成自身节点及其邻接节点相关的KPI指标和发生大量日志异常
JavaScript前端开发的核心语言前端开发的核心语言
最新发布
04-29
javascript 当今互联网时代,JavaScript已经成为了前端开发的核心语言它是一种高级程序设计语言,通常用于网页的交互和动态效果的实现。JavaScript的灵活性以及广泛的使用使得它变得异常重要,能够为用户带来更好的用户体验。 JavaScript的特点之一是它的轻量级,它可以在网页运行无需单独的编译或下载。这意味着网页可以更快地加载并且用户无需安装额外的软件才能运行网页上的JavaScript代码。此外,与HTML和CSS紧密结合,可以直接在HTML文档嵌入,使得网页的开发变得非常便捷。 JavaScript具有动态性,它可以在浏览器实时修改页面内容和样。它可以通过操作DOM(文档对象模型来动态地修改网页的结构和布局,并且可以根据用户的行为实时地响应各种事件,如点击、标悬停、滚动等。这使得开发者可以轻松地为网页添加交互性和动态效果,提供更好的用户体验。 JavaScript也是一种面向对象的语言。它支持对象、类、继承、多态等面向对象编程的概念,使得代码结构更加清晰和可维护。开发者可以创建自定义的对象和方法,对功能进行封装和复用,提高代码的可读性和可维护性。
四则运算自动生成程序安装包
04-29
四则运算自动生成程序安装包
基于Linux的私有文件服务器(网盘).zip
04-29
基于Linux的私有文件服务器(网盘)
源代码-access 管理 系统 API 文件.zip
04-29
源代码-access 管理 系统 API 文件.zip
ruoyi 如何去掉jsessionid
04-30
然而,在某些情况下,我们需要将该标识符从URL去掉,以避免安全漏洞和提高用户体验。 要去掉Ruoyi应用程序JSESSIONID,您可以通过以下步骤进行: 1.在Spring Boot应用程序,找到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值