69

是否可以在tomcat的url中关闭jsessionid?jsessionid 似乎对搜索引擎不太友好。

4

8 回答 8

68

您可以使用此过滤器仅禁用搜索引擎,但我建议将其用于所有响应,因为它比搜索引擎不友好更糟糕。它公开了可用于某些安全漏洞的会话 ID(更多信息)。

Tomcat 6(6.0.30 之前)

您可以使用tukey 重写过滤器

Tuckey 过滤器的示例配置:

<outbound-rule encodefirst="true">
  <name>Strip URL Session ID's</name>
  <from>^(.*?)(?:\;jsessionid=[^\?#]*)?(\?[^#]*)?(#.*)?$</from>
  <to>$1$2$3</to>
</outbound-rule>

Tomcat 6(6.0.30 及更高版本)

您可以在上下文配置中使用disableURLRewriting来禁用此行为。

雄猫 7 和雄猫 8

Tomcat 7 开始,您可以在会话配置中添加以下内容。

<session-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>
于 2009-06-07T20:33:05.137 回答
53
 <session-config>
     <tracking-mode>COOKIE</tracking-mode>
 </session-config> 

Tomcat 7 和 Tomcat 8 在您的 web-app web.xml 中支持上述配置,这会禁用基于 URL 的会话。

于 2011-05-19T21:22:11.803 回答
19

可以在 Tomcat 6.0 中执行此操作:disableURLRewriting

http://tomcat.apache.org/tomcat-6.0-doc/config/context.html

例如

<?xml version='1.0' encoding='utf-8'?>
<Context docBase="PATH_TO_WEBAPP" path="/CONTEXT" disableURLRewriting="true">
</Context>

在 Tomcat 7.0 中,这由应用程序中的以下内容控制: ServletContext.setSessionTrackingModes()

Tomcat 7.0 遵循 Servlet 3.0 规范。

于 2011-04-11T16:58:27.927 回答
13

Filter在包含 a的所有 URL 上使用 a response,它HttpServletResponseWrapper仅从 、 和 . 中返回未更改encodeRedirectUrl的URL 。encodeRedirectURLencodeUrlencodeURL

于 2009-06-07T20:57:53.603 回答
5

引用 Pool 的回答:

您可以使用 tukey 重写过滤器。

您可以使用此过滤器仅禁用搜索引擎,但我建议将其用于所有响应,因为它比搜索引擎不友好更糟糕。它公开了可用于某些安全漏洞的会话 ID(更多信息)。

值得一提的是,即使 jsessionid 不再可见,这仍将允许基于 cookie 的会话处理。(摘自他的另一篇文章:我可以关闭 web.xml 中的 HttpSession 吗?

PS。我没有足够的声誉来发表评论,否则我会将其添加到他上面的帖子中作为评论。

于 2010-04-14T07:34:49.763 回答
4

在 Tomcat 6.0 中,您可以将 disableURLRewriting="true" 从您的 Tomcat 安装的 /config 路径中​​使用到 context.xml。

http://tomcat.apache.org/tomcat-6.0-doc/config/context.html

context.xml 文件

<?xml version='1.0' encoding='utf-8'?>
<!--
  Licensed to the Apache Software Foundation (ASF) under one or more
  contributor license agreements.  See the NOTICE file distributed with
  this work for additional information regarding copyright ownership.
  The ASF licenses this file to You under the Apache License, Version 2.0
  (the "License"); you may not use this file except in compliance with
  the License.  You may obtain a copy of the License at

      http://www.apache.org/licenses/LICENSE-2.0

  Unless required by applicable law or agreed to in writing, software
  distributed under the License is distributed on an "AS IS" BASIS,
  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  See the License for the specific language governing permissions and
  limitations under the License.
-->
<!-- The contents of this file will be loaded for each web application -->
<Context disableURLRewriting="true">

    <!-- Default set of monitored resources -->
    <WatchedResource>WEB-INF/web.xml</WatchedResource>

    <!-- Uncomment this to disable session persistence across Tomcat restarts -->
    <!--
    <Manager pathname="" />
    -->

    <!-- Uncomment this to enable Comet connection tacking (provides events
         on session expiration as well as webapp lifecycle) -->
    <!--
    <Valve className="org.apache.catalina.valves.CometConnectionManagerValve" />
    -->

</Context>

...

现在tomcat输出它的搜索引擎友好......

享受

于 2012-02-25T17:25:36.077 回答
2

此外,如果您在 Tomcat 前面有 Apache,您可以使用 mod_rewrite 过滤器去除 jsession。

将以下内容添加到您的 apache 配置中。

#Fix up tomcat jsession appending rule issue
RewriteRule  ^/(.*);jsessionid=(.*) /$1 [R=301,L]

这将执行 301 重定向到没有 jsessionid 的页面。显然这将完全禁用 url jsessionid,但这是我需要的。

干杯,马克

于 2010-12-21T04:30:06.520 回答
2

默认情况下,在 Tomcat 服务器中启用 cookie(您可以通过在 server.xml 的元素中使用 cookies=true 来显式设置它)。启用 cookie 意味着 jsessionID 不会附加到 URL,因为会话将使用 cookie 进行管理。然而,即使在启用 cookie 之后,jsessionID 也会附加到第一个请求的 URL 中,因为网络服务器在那个阶段不知道是否启用了 cookie。要删除此类 jsessionID,您可以使用 tukey 重写规则:

您可以在http://javatechworld.blogspot.com/2011/01/how-to-remove-jsessionid-from-url-java.html找到更多信息

<outbound-rule encodefirst="true">
    <note>Remove jsessionid from embedded urls - for urls WITH query parameters</note>
    <from>^/(.*);jsessionid=.*[?](.*)$</from>
    <to encode="false">/$1?$2</to>
</outbound-rule>

<outbound-rule encodefirst="true">
    <note>Remove jsessionid from embedded urls - for urls WITHOUT query parameters</note>
    <from>^/(.*);jsessionid=.*[^?]$</from>
    <to encode="false">/$1</to>
</outbound-rule>

您可以在http://javatechworld.blogspot.com/2011/01/how-to-remove-jsessionid-from-url-java.html找到更多信息

于 2011-03-12T15:24:30.430 回答