Cookie против jsessionid URL-токена

Question

как это с Set-Cookie: VS jsessionid url token приоритетом?

Кажется, что Apache Tomcat игнорирует токен, если установлен cookie.Разве это не немного неудобное поведение?Или это так по соображениям безопасности?

это URL запроса в сервлете

....someParam=addFile;jsessionid=7A6ECCF009D4855821BCB45E0B744A7B'

, а идентификатор полученного сеанса соответствует параметру заголовка запроса cookie ...

Это означает, что он испортил обработку запроса.Например, Spring-mvc преобразует значение someParam в addFile;jsessionid=7A6ECCF009D4855821BCB45E0B744A7B', и происходит сбой с исключением ...

Answer 1

В соответствии со спецификацией Servlet 2.4 перезапись URL-адреса является наименьшим значением отслеживания сеанса, поэтому я не удивляюсь, что jsessionid в URL-адресе игнорируется для клиентов, которые принимают файлы cookie.Прочтите раздел 7.1 для получения подробной информации (например, отслеживание сеанса).

Что касается вашего обновленного вопроса (связанного с Spring MVC), существует множество статей / методик, в которых упоминается, как покончить с этим.чрезмерный багаж ;jsessionid в вашем URL, удаляя их с помощью фильтра или с помощью mod_rewrite.Выполните в Google поиск по запросу "jsessionid in url" и прочитайте ссылки, которые следуют.