Springboot怎么去掉URL后面的jsessionid

这篇文章主要介绍“Springboot怎么去掉URL后面的jsessionid”，在日常操作中，相信很多人在Springboot怎么去掉URL后面的jsessionid问题上存在疑惑，小编查阅了各式资料，整理出简单好用的操作方法，希望对大家解答”Springboot怎么去掉URL后面的jsessionid”的疑惑有所帮助！接下来，请跟着小编一起来学习吧！

如何去掉URL后面的jsessionid

url中有Jsessionid生成的原因

jsessionid是标明session的id，它存在于COOKIE中，一般情况不会出现在url中，服务器会从客户端的COOKIE中取出来，但是如果客户端禁用了COOKIE的话，就要重写url了，显式的将jsessionid重写到Url中，方便服务器来通过这个找到session的id。

如果客户端请求的COOKIE中不包含JSESSIONID，服务端调用request.getSession()时就会生成并传递给客户端，此次响应头会包含设置COOKIE的信息

如果客户端请求的COOKIE中包含JSESSIONID，服务端调用request.getSession()时就会根据JSESSIONID进行查找对象，如果能查到就返回，否则就跟没传递JSESSIONID一样；

解决方式一

springBoot2.0之前版本

在 .yml配置文件中做如下配置

解决方式二

在启动类中继承SpringBootServletInitializer，然后重写这个方法 （此方法在springBoot2.0之前版本没有起作用，暂时做记录）

public void onStartup(ServletContext servletContext) throws ServletException {
        super.onStartup(servletContext);
 
        // This will set to use COOKIE only
        servletContext.setSessionTrackingModes(
                Collections.singleton(SessionTrackingMode.COOKIE)
        );
        // This will prevent any JS on the page from accessing the
        // COOKIE - it will only be used/accessed by the HTTP transport
        // mechanism in use
        SessionCOOKIEConfig sessionCOOKIEConfig =
                servletContext.getSessionCOOKIEConfig();
        sessionCOOKIEConfig.setHttpOnly(true);
    }

Java关于jsessionid和URL

在写JSP程序时，经常发现url中有一个jsessionid参数，在刷新之后就消失了。一些人认为这是个一个BUG。

这不是一个bug。当一个新的session被创建时，server并不确定客户端是否支持COOKIEs，所以它生成了一个COOKIE，就是URL中jsessionid的值。当客户端在第二次带着COOKIE返回时，服务器就知道jsessionid不是必须的，所以就会删掉它。如果客户端没有带着COOKIE返回，服务器就会继续在url中添加jsessionid参数。

但是现在几乎很难想象浏览器会不支持COOKIE。jsessionid参数也可能会给SEO和安全带来一定问题。

对SEO的冲击

有些搜索引擎可能会惩罚（找不到更好的词形容）那些具有多个不同url但内容相同的网站。因为sessionid是唯一的，所以多个搜索机器人将返回相同的内容但url不同。

这是一个严重的问题。我们试一下用google搜索inurl:;jsessionid，Google的搜索结果：About 211,000,000 results (0.25 seconds)

安全问题

在url中包含sessionId不是一个明智之举，这将为攻击者提供便利。

解决之道

不幸的是Servlet Specification和Servlet Containers中并未提供一个标准的方法去禁止在url中带jsessionid。

不过我们可以通过servlet filter去解决这个问题。

package com.lgete.web.filter;
import java.io.IOException;
import javax.servlet.*;
import javax.servlet.http.*;
 
/**
 * @author Zhu Jia zhujia7895@gmail.com
 * 
 */
public class URLSessionFilter implements Filter {
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        if (!(request instanceof HttpServletRequest)) {
            chain.doFilter(request, response);
            return;
        }
 
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        HttpServletResponseWrapper wrappedResponse = new HttpServletResponseWrapper(
                httpResponse) { 
            public String encodeRedirectUrl(String url) {
                return url; 
            }
 
            public String encodeRedirectURL(String url) { 
                return url; 
            }
 
            public String encodeUrl(String url) { 
                return url; 
            }
 
            public String encodeURL(String url) { 
                return url; 
            } 
        }; 
        chain.doFilter(request, wrappedResponse); 
    }
 
    public void init(FilterConfig filterConfig) { 
    } 
    public void destroy() { 
    } 
}

在web.xml中添加以下内容：

     
    URLSessionFilter
    zj.web.filter.URLSessionFilter

 

    URLSessionFilter    
    /*

到此，关于“Springboot怎么去掉URL后面的jsessionid”的学习就结束了，希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习，快去试试吧！若想继续学习更多相关知识，请继续关注编程笔记网站，小编会继续努力为大家带来更多实用的文章！