之前提到调用response.encodeURL(String url)方法的时候,如果客户端支持cookie,那么不做任何处理,直接返回传进去的url,因为jsessionid可以写入cookie中,所以不需要url重写。其实所说的客户端支持cookie并不严谨,因为在客户端支持cookie的情况下,调用response.encodeURL(String url)方法,也会遇到对传进去的url进行重写的情况。那么什么情况下会出现这个问题呢?请看下面:
客户端支持cookie,第一次访问某个servlet,这时servlet接收到的request的cookie中没有jsessionid信息,这时encodeURL内部会认为客户端不支持cookie,所以会重写传进去的url,即使你在请求url中手动添加了正确的;jsessionid=30A7F107A1E5B1E7250622C158244032信息,也仍然会重写传进去的url。
由此可以得出encodeURL内部的具体的判定规则:
request的cookie中是否有正确的jsessionid信息。
有的话,就不重写传进去的url。否则符合重写url的条件(当然还有其他条件也必须符合)。
从代码中也可以得出相同的结论:
boolean isEncodeable(final String location)方法中
if (hreq.isRequestedSessionIdFromCookie()) { return (false); }
isRequestedSessionIdFromCookie()方法如下:
public boolean isRequestedSessionIdFromCookie() { if (requestedSessionId == null) { return false; } return requestedSessionCookie; }
requestedSessionId是指从客户端得到的jsessionid的值,具体采用cookie传递还是url传递都没关系。
1.如果requestedSessionId为空,说明客户端没有传入jsessionid,当然cookie中也没有,所以符合url重写的条件。
2.如果requestedSessionId有值,再进一步判断这个jsessionid是否是从cookie中取到的,如果是那么就不用重写url,否则重写。
上面这些分析可以看出:
1.servlet或者说tomcat其实是无法准确地获知浏览器是否禁用了cookie。
2.即使浏览器禁用了cookie,只要servlet里面创建了session,那么jsessionid同样会写入response的cookie,并返回给客户端,只是浏览器不往本地cookie中写,直接忽略掉了。
3.只要在request的cookie中没有找到jsessionid,那么就可以进行url重写。
最后,顺便看一下HttpServletRequest中的下面这几个方法:
public String getRequestedSessionId() //获取客户端传过来的jsessionid的值
public boolean isRequestedSessionIdFromCookie() //request的cookie中是否有jsessionid
public boolean isRequestedSessionIdFromURL() //request url中是否有jsessionid
那么,有一个问题,如果客户端的cookie中含有jsessionid,同时request url中也含有jsessionid,这时候会怎么样呢?
答案是:使用cookie中的jsessionid
1.优先判断cookie中有没有,cookie中有的话,就使用cookie中的jsessionid
2.如果cookie中没有,再看request url中有没有
isRequestedSessionIdFromCookie()返回 true
isRequestedSessionIdFromURL()返回 false