URL中的;jessionid=abcdefg是如何产生的

最新推荐文章于 2020-10-21 17:15:35 发布
最新推荐文章于 2020-10-21 17:15:35 发布
阅读量334 收藏
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gezilan/article/details/88350697
版权

URL中的;jessionid=abcdefg是如何产生的

前提是调用String newurl = response.encodeRedirectURL("/workbench/abc/def");,也就是用response调用encodeRedirectURL这个方法。

最终会用到org.apache.catalina.connector.Response这个类
581行:

    public String encodeRedirectURL(String url) {
        return this.isEncodeable(this.toAbsolute(url)) ? this.toEncoded(url, this.request.getSessionInternal().getIdInternal()) : url;
    }

先判断是否需要编码this.isEncodeable(this.toAbsolute(url)).
在这个方法里

    protected boolean isEncodeable(final String location) {
        if (location == null) {
            return false;
        } else if (location.startsWith("#")) {
            return false;
        } else {
            final Request hreq = this.request;
            final Session session = hreq.getSessionInternal(false);
            if (session == null) {
                return false;
            } else if (hreq.isRequestedSessionIdFromCookie()) {
                return false;
            } else if (!hreq.getServletContext().getEffectiveSessionTrackingModes().contains(SessionTrackingMode.URL)) {
                return false;
            } else {
                return SecurityUtil.isPackageProtectionEnabled() ? (Boolean)AccessController.doPrivileged(new PrivilegedAction<Boolean>() {
                    public Boolean run() {
                        return Response.this.doIsEncodeable(hreq, session, location);
                    }
                }) : this.doIsEncodeable(hreq, session, location);
            }
        }
    }

从方法里可以看到,

  1. 判断是否有session
  2. 在request的cookie里是否找到了session
  3. 以及servelt的模型是否允允许在URL上加session

以上三个条件都不满足,下边还会进行一个判断,没仔细看,主要是看最后一行this.doIsEncodeable(hreq, session, location);

private boolean doIsEncodeable(Request hreq, Session session, String location) {
        URL url = null;

        try {
            url = new URL(location);
        } catch (MalformedURLException var10) {
            return false;
        }

        if (!hreq.getScheme().equalsIgnoreCase(url.getProtocol())) {
            return false;
        } else if (!hreq.getServerName().equalsIgnoreCase(url.getHost())) {
            return false;
        } else {
            int serverPort = hreq.getServerPort();
            if (serverPort == -1) {
                if ("https".equals(hreq.getScheme())) {
                    serverPort = 443;
                } else {
                    serverPort = 80;
                }
            }

            int urlPort = url.getPort();
            if (urlPort == -1) {
                if ("https".equals(url.getProtocol())) {
                    urlPort = 443;
                } else {
                    urlPort = 80;
                }
            }

            if (serverPort != urlPort) {
                return false;
            } else {
                String contextPath = this.getContext().getPath();
                if (contextPath != null) {
                    String file = url.getFile();
                    if (!file.startsWith(contextPath)) {
                        return false;
                    }

                    String tok = ";" + SessionConfig.getSessionUriParamName(this.request.getContext()) + "=" + session.getIdInternal();
                    if (file.indexOf(tok, contextPath.length()) >= 0) {
                        return false;
                    }
                }

                return true;
            }
        }
    }

在这里我觉得最重要的一个就是file.startsWith(contextPath),也就是url里是否包含了servletcontext,也就是应用名,如果包含了,就会执行最下边的返回true,返回了true就会在URL的后边加上jsessionid
像这样http://localhost:8080/workbench/abc/def;jessionid=BB42488246F80CC8A7072FF3E35F3014
多了这个在一些应用里会导致问题,因为URL匹配不上造成404或者因为包含而被认为是注入或者攻击行为

解决方法:

这里以spring boot为例
在application.yml文件里添加如下

server:
  port: 8080
  servlet:
    session:
      tracking-modes: cookie

问题重现方法

@RequestMapping("/test/encodeURL")
    public String th(HttpServletRequest request, HttpServletResponse response) {
        HttpSession session = request.getSession(true);
        session.setAttribute("abc", "def");

        String newurl = response.encodeRedirectURL("/workbench/abc/def");

        return newurl;
    }

请求之前先清掉cookie里的jessionid,然后在浏览器访问,就可以得到一个带;jessionid的返回URL

TIMI-Nian
关注
专栏目录
url有Jsessionid与重写功能
Artisan_w
01-02 454
jsessionid是标明sessionid的,它是存在于cookie的,一般情况下不会出现在url,服务器会从客户端的cookie取出来,但是如果客户端禁用了cookie的话,就要重写url了,显式的将jsessionid重写到Url,方便服务器来通过这个找到sessionid。如果客户端请求的cookie不包含JSESSIONID,服务端调用request.getSession()时就会生成并传递给客户端,此次响应头会包含设置cookie的信息。
禁用Cookie后,Session怎么样使用
茅坤宝骏氹的博客
05-05 946
转载自禁用Cookie后,Session怎么样使用 在上篇更多的是在分析通过Session Cookie这一方式,在每次请求时都将 sessionId以Cookie的形式发到服务端,来保持一致。这也是许多人印象的 Session在浏览器关闭之后就失效这一说法的来源。 其实本质上是浏览器在关闭之后,应用对应的SessionCookie被清除了,再次打开浏览器请求应用时,之前的Sess...
(十二)整合 Shiro 框架,实现用户权限管理
爱是与世界平行
07-08 502
整合 Shiro 框架,实现用户权限管理1、Shiro简介1.1 基础概念1.2 核心角色1.3 核心理念2、SpringBoot整合Shiro2.1 核心依赖2.2 Shiro核心配置2.3 域对象配置3.4 核心工具类3.5 自定义权限异常提示3、案例演示代码3.1 测试接口3.2 测试流程 1、Shiro简介 1.1 基础概念 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。作为一款安全框架Shiro的设计相当巧妙。Shiro的应用不依赖任何容器,它不仅
jsessionid所引起的问题 和解决
12-13 5959
jsessionid所引起的问题在Spring MVC当使用RedirectView或者"redirect:"前缀来做重定向时,Spring MVC最后会调用:response.sendRedirect(response.encodeRedirectURL(url));对于IE来说,打开一个新的浏览器窗口,第一次访问服务器时,encodeRedirectURL()会在url后面附加上一段jsess
以下程序段,不能正确赋字符串 (编译时系统会提示错误)的是 () A.chars[10]="abcdefg" B.char tl]="abcdefg",*s = t; C.chars[10]; strcpy (s,"abcdefg") : D.char s[10]; s ="abcdefg"
06-07
不能正确赋字符串的程序段是 D....正确的做法是使用 strcpy 函数将字符串 "abcdefg" 复制到 s ,如下所示: ```c char s[10]; strcpy(s, "abcdefg"); ``` 这样就可以将字符串 "abcdefg" 赋值给字符数组 s 了。
C语言程序设计-将主函数输入的字符串反序存放;例如:输入字符串“abcdefg”,则应输出“gfedcba”;.c
03-21
C语言程序设计-将主函数输入的字符串反序存放;例如:输入字符串“abcdefg”,则应输出“gfedcba”;.c
在C语言,char a[]="abcdefg";和char b[]={'a','b','c','d','e','f','g'};为什么不一样
最新发布
04-04
在C语言,`char a[]="abcdefg";`和`char b[]={'a','b','c','d','e','f','g'};`虽然看起来有些不同,但实际上它们是等价的。 `char a[]="abcdefg";`是使用字符串常量初始化字符数组a。在内存,编译器会为字符串...
abcdefg123321
04-26
ai ni jiu deng yu ai zi ji a a a
java截取“abcdefg”defg部分
04-04
可以使用substring方法来截取字符串的一部分。在这个例子,可以这样写: ``` String str = "abcdefg"; String subStr = str.substring(3); // 从索引3开始截取到字符串末尾 System.out.println(subStr); // ...
urljsessionid的理解
weixin_30606669的博客
05-31 383
(1)这是一个保险措施因为Session默认是需要Cookie支持的但有些客户浏览器是关闭Cookie的这个时候就需要在URL指定服务器上的session标识,也就是5F4771183629C9834F8382E23BE13C4C用一个方法(忘了方法的名字)处理URL串就可以得到这个东西这个方法会判断你的浏览器是否开启了Cookie,如果他认为应该加他就会加上去(2)链...
解决url带jsessionid问题(springboot版)
thankna的博客
10-21 5788
1.问题背景: 我的项目不使用cookie,使用sessionStorage,走前后端分离路线,但是有一个机能用的thymeleaf继承以前的项目。 vue访问springboot时shiro+jwt+redis,没有问题。 thymeleaf访问springboot时shiro拦截了在jsessionidurl,导致css样式请求报400,返回画面没有样式。 2.解决方案 从CSDN上检索到的去掉jsessionid都是springmvc版的,追加过滤器解决,过滤器注册在web.xml。 我
地址栏JSESSIONID问题
qq_32891219的博客
10-12 7982
     今天粘代码:)的过程遇到了一个非常有意思的现象,首次登陆时浏览器URL后被追加SESSIONID      前提:项目采用shiro进行权限控制,并且设置了setLoginUrl,如图:                                                   正常启动之后在浏览器输入http://localhost:8081,应该被重定向到http:/...
Tomat如何实现session
hck341204的专栏
11-24 103
Servet Spec 规定了三种session tracking机制: 1.cookie (cookie name 必须是JSESSIONID) 2.url rewrite (即给URL加上,";jessionid=EDFGHGFRTYTYUI56789", e.g.) 3.如果当前处于SSL,则servlet容器可以直接利用SSL内置的会话跟踪机制实现自己的session...
对于url出现jsessionid问题
cuixuefeng1112的专栏
03-30 3703
当时用进行页面重定向时,浏览器地址栏会出现jsessionid,这是因为redirect会去检查是否有cookie,如果没有则url上添加jsessionid以便浏览器和服务器保持通话。 其实倒也没什么,但是毕竟地址栏出现这一串东西不太好看,其实是可以解决掉的。 方法一: 方法二:tomcat在上下文配置当加入disableURLRewriting=true语句。
将字符串“ABCDEFG“的“CD“截取出来;再将“B“、“F“截取出来6-2
lena blog
08-08 2570
package group6; //将字符串"ABCDEFG"的"CD"截取出来;再将"B"、"F"截取出来。 public class text2 { public static void main(String[] args) { String a=“ABCDEFG”; String b=a.substring(2,4); String c=a.substring(1,2); String ...
python 字符串 a=abcdefg,判断如果 a 含有 ["abc", "cde", "efg"] 任一个,就返回True,否则返回 False。不用循环,该怎么写?
04-19
a = "abcdefg" result = any(substring in a for substring in ["abc", "cde", "efg"]) print(result) ``` 其,"substring in a"表示判断字符串a是否包含substring子串,for substring in ["abc", "cde", "efg...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值