欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

Springboot如何去掉URL后面的jsessionid

程序员文章站 2022-03-18 22:56:46
目录如何去掉url后面的jsessionidurl中有jsessionid生成的原因解决方式一解决方式二java关于jsessionid和url对seo的冲击安全问题解决之道如何去掉url后面的jse...

如何去掉url后面的jsessionid

url中有jsessionid生成的原因

jsessionid是标明session的id,它存在于cookie中,一般情况不会出现在url中,服务器会从客户端的cookie中取出来,但是如果客户端禁用了cookie的话,就要重写url了,显式的将jsessionid重写到url中,方便服务器来通过这个找到session的id。

如果客户端请求的cookie中不包含jsessionid,服务端调用request.getsession()时就会生成并传递给客户端,此次响应头会包含设置cookie的信息

如果客户端请求的cookie中包含jsessionid,服务端调用request.getsession()时就会根据jsessionid进行查找对象,如果能查到就返回,否则就跟没传递jsessionid一样;

解决方式一

springboot2.0之前版本

在 .yml配置文件中做如下配置

Springboot如何去掉URL后面的jsessionid

解决方式二

在启动类中继承springbootservletinitializer,然后重写这个方法 (此方法在springboot2.0之前版本没有起作用,暂时做记录)

public void onstartup(servletcontext servletcontext) throws servletexception {
        super.onstartup(servletcontext);
 
        // this will set to use cookie only
        servletcontext.setsessiontrackingmodes(
                collections.singleton(sessiontrackingmode.cookie)
        );
        // this will prevent any js on the page from accessing the
        // cookie - it will only be used/accessed by the http transport
        // mechanism in use
        sessioncookieconfig sessioncookieconfig =
                servletcontext.getsessioncookieconfig();
        sessioncookieconfig.sethttponly(true);
    }

java关于jsessionid和url

在写jsp程序时,经常发现url中有一个jsessionid参数,在刷新之后就消失了。一些人认为这是个一个bug。

这不是一个bug。当一个新的session被创建时,server并不确定客户端是否支持cookies,所以它生成了一个cookie,就是url中jsessionid的值。当客户端在第二次带着cookie返回时,服务器就知道jsessionid不是必须的,所以就会删掉它。如果客户端没有带着cookie返回,服务器就会继续在url中添加jsessionid参数。

但是现在几乎很难想象浏览器会不支持cookie。jsessionid参数也可能会给seo和安全带来一定问题。

对seo的冲击

有些搜索引擎可能会惩罚(找不到更好的词形容)那些具有多个不同url但内容相同的网站。因为sessionid是唯一的,所以多个搜索机器人将返回相同的内容但url不同。

这是一个严重的问题。我们试一下用google搜索inurl:;jsessionid,google的搜索结果:about 211,000,000 results (0.25 seconds)

安全问题

在url中包含sessionid不是一个明智之举,这将为攻击者提供便利。

解决之道

不幸的是servlet specification和servlet containers中并未提供一个标准的方法去禁止在url中带jsessionid。

不过我们可以通过servlet filter去解决这个问题。

package com.lgete.web.filter;
import java.io.ioexception;
import javax.servlet.*;
import javax.servlet.http.*;
 
/**
 * @author zhu jia <a
 *         href="mailto:zhujia7895@gmail.com" rel="external nofollow" >zhujia7895@gmail.com</a>
 * 
 */
public class urlsessionfilter implements filter {
    public void dofilter(servletrequest request, servletresponse response,
            filterchain chain) throws ioexception, servletexception {
        if (!(request instanceof httpservletrequest)) {
            chain.dofilter(request, response);
            return;
        }
 
        httpservletresponse httpresponse = (httpservletresponse) response;
        httpservletresponsewrapper wrappedresponse = new httpservletresponsewrapper(
                httpresponse) { 
            public string encoderedirecturl(string url) {
                return url; 
            }
 
            public string encoderedirecturl(string url) { 
                return url; 
            }
 
            public string encodeurl(string url) { 
                return url; 
            }
 
            public string encodeurl(string url) { 
                return url; 
            } 
        }; 
        chain.dofilter(request, wrappedresponse); 
    }
 
    public void init(filterconfig filterconfig) { 
    } 
    public void destroy() { 
    } 
}

在web.xml中添加以下内容:

<filter>     
    <filter-name>urlsessionfilter</filter-name>
    <filter-class>zj.web.filter.urlsessionfilter</filter-class>
</filter>
 
<filter-mapping>
    <filter-name>urlsessionfilter</filter-name>    
    <url-pattern>/*</url-pattern>
</filter-mapping>

以上为个人经验,希望能给大家一个参考,也希望大家多多支持。