Java中关于jsessionid和URL

在写JSP程序时,经常发现url中有一个jsessionid参数,在刷新之后就消失了。一些人认为这是个一个BUG。

这不是一个bug。当一个新的session被创建时,server并不确定客户端是否支持cookies,所以它生成了一个cookie,就是URL中jsessionid的值。当客户端在第二次带着cookie返回时,服务器就知道jsessionid不是必须的,所以就会删掉它。如果客户端没有带着cookie返回,服务器就会继续在url中添加jsessionid参数。

但是现在几乎很难想象浏览器会不支持cookie。jsessionid参数也可能会给SEO和安全带来一定问题。

对SEO的冲击

有些搜索引擎可能会惩罚(找不到更好的词形容)那些具有多个不同url但内容相同的网站。因为sessionid是唯一的,所以多个搜索机器人将返回相同的内容但url不同。

这是一个严重的问题。我们试一下用google搜索inurl:;jsessionid,Google的搜索结果:About 211,000,000 results  (0.25 seconds) 

安全问题

在url中包含sessionId不是一个明智之举,这将为攻击者提供便利。

解决之道

不幸的是Servlet Specification和Servlet Containers中并未提供一个标准的方法去禁止在url中带jsessionid。

不过我们可以通过servlet filter去解决这个问题。

package com.lgete.web.filter;
 
import java.io.IOException;
 
import javax.servlet.*;
 
import javax.servlet.http.*;
 
/**
 * @author Zhu Jia [email protected]
 * 
 */
public class URLSessionFilter implements Filter {
 
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
 
        if (!(request instanceof HttpServletRequest)) {
 
            chain.doFilter(request, response);
 
            return;
 
        }
 
        HttpServletResponse httpResponse = (HttpServletResponse) response;
 
        HttpServletResponseWrapper wrappedResponse = new HttpServletResponseWrapper(
                httpResponse) {
 
            public String encodeRedirectUrl(String url) {
 
                return url;
 
            }
 
            public String encodeRedirectURL(String url) {
 
                return url;
 
            }
 
            public String encodeUrl(String url) {
 
                return url;
 
            }
 
            public String encodeURL(String url) {
 
                return url;
 
            }
 
        };
 
        chain.doFilter(request, wrappedResponse);
 
    }
 
    public void init(FilterConfig filterConfig) {
 
    }
 
    public void destroy() {
 
    }
 
}

在web.xml中添加以下内容:

     
    URLSessionFilter
    zj.web.filter.URLSessionFilter

 

    URLSessionFilter    
    /*

你可能感兴趣的:(Java中关于jsessionid和URL)