Springboot如何去掉URL后面的jsessionid

第Springboot如何去掉URL后面的jsessionid目录如何去掉URL后面的jsessionidurl中有Jsessionid生成的原因解决方式一解决方式二Java关于jsessionid和URL对SEO的冲击安全问题解决之道

如何去掉URL后面的jsessionid

url中有Jsessionid生成的原因

jsessionid是标明session的id，它存在于cookie中，一般情况不会出现在url中，服务器会从客户端的cookie中取出来，但是如果客户端禁用了cookie的话，就要重写url了，显式的将jsessionid重写到Url中，方便服务器来通过这个找到session的id。

如果客户端请求的cookie中不包含JSESSIONID，服务端调用request.getSession()时就会生成并传递给客户端，此次响应头会包含设置cookie的信息

如果客户端请求的cookie中包含JSESSIONID，服务端调用request.getSession()时就会根据JSESSIONID进行查找对象，如果能查到就返回，否则就跟没传递JSESSIONID一样；

解决方式一

springBoot2.0之前版本

在.yml配置文件中做如下配置

解决方式二

在启动类中继承SpringBootServletInitializer，然后重写这个方法（此方法在springBoot2.0之前版本没有起作用，暂时做记录）

publicvoidonStartup(ServletContextservletContext)throwsServletException{

super.onStartup(servletContext);

//ThiswillsettouseCOOKIEonly

servletContext.setSessionTrackingModes(

Collections.singleton(SessionTrackingMode.COOKIE)

//ThiswillpreventanyJSonthepagefromaccessingthe

//cookie-itwillonlybeused/accessedbytheHTTPtransport

//mechanisminuse

SessionCookieConfigsessionCookieConfig=

servletContext.getSessionCookieConfig();

sessionCookieConfig.setHttpOnly(true);

}

Java关于jsessionid和URL

在写JSP程序时，经常发现url中有一个jsessionid参数，在刷新之后就消失了。一些人认为这是个一个BUG。

这不是一个bug。当一个新的session被创建时，server并不确定客户端是否支持cookies，所以它生成了一个cookie，就是URL中jsessionid的值。当客户端在第二次带着cookie返回时，服务器就知道jsessionid不是必须的，所以就会删掉它。如果客户端没有带着cookie返回，服务器就会继续在url中添加jsessionid参数。

但是现在几乎很难想象浏览器会不支持cookie。jsessionid参数也可能会给SEO和安全带来一定问题。

对SEO的冲击

有些搜索引擎可能会惩罚（找不到更好的词形容）那些具有多个不同url但内容相同的网站。因为sessionid是唯一的，所以多个搜索机器人将返回相同的内容但url不同。

这是一个严重的问题。我们试一下用google搜索inurl:;jsessionid，Google的搜索结果：About211,000,000results(0.25seconds)

安全问题

在url中包含sessionId不是一个明智之举，这将为攻击者提供便利。

解决之道

不幸的是ServletSpecification和ServletContainers中并未提供一个标准的方法去禁止在url中带jsessionid。

不过我们可以通过servletfilter去解决这个问题。

packagecom.lgete.web.filter;

importjava.io.IOException;

importjavax.servlet.*;

importjavax.servlet.http.*;

*@authorZhuJiaa

*href="mailto:zhujia7895@"rel="externalnofollow"zhujia7895@/a

publicclassURLSessionFilterimplementsFilter{

publicvoiddoFilter(ServletRequestrequest,ServletResponseresponse,

FilterChainchain)throwsIOException,ServletException{

if(!(requestinstanceofHttpServletRequest)){

chain.doFilter(request,response);

return;

HttpServletResponsehttpResponse=(HttpServletResponse)response;

HttpServletResponseWrapperwrappedResponse=newHttpServletResponseWrapper(

httpResponse){

publicStringencodeRedirectUrl(Stringurl){

returnurl;

publicStringencodeRedirectURL(Stringurl){

returnurl;

publicStringencodeUrl(Stringurl){

returnurl;

publicStringencodeURL(Stringurl){

returnurl;

chain.doFilter(request,wrappedResponse);

publicvoidinit(FilterConfigfilterConfig){

publicvoiddestroy(){

}

在web.xml中添加以下内容：

filter

filter-nameURLSessionFilter/filter-name

filter-classzj.web.filter.URLSessionFilter/filter-class