问题标签 [jsessionid]

我正在使用：Spring MVC 3.0、Apache Tiles 2.1.2、Apache Tomcat 6.0.29、Dojo 1.5

我的浏览器第二次访问 Tomcat 时，该 url 会在其中间出现一个 jsessionid 。

例如

第一个请求：http://localhost:8081/accessmenus/menus/main

第二个请求：http://localhost:8081/;jsessionid=45A05E88DD78A06B1C99C3C02D45D65Caccessmenus/menus/main

（所有后续请求都没有 jsessionid）

有任何想法吗？

网页.xml：

webmvc-config.xml：

Tomcat 服务器.xml：

我在使用 perl mechanize 登录/保持登录到网站时遇到问题

查看标题，似乎 JSESSIONID 不断变化。我正在使用一个饼干罐，但我认为它以某种方式被覆盖了。

最近我们从 URL 中删除了 jsessionid，做了基于 cookie 的会话管理，以防止“会话劫持攻击”

但是我们发现，当启用 cookie 时，第一个请求 URL 总是有 jsessionid，而后续请求 URL 没有 jsessionid。

使用第一个 url 中的 jsessionid 我们可以直接点击工作流中的其他页面

问题：是否有任何安全漏洞仅在第一次请求时暴露 jsessionid？

有一个从第一个请求中删除 jsessionid 的解决方案，但想检查它是否真的容易受到强制更改的影响

谢谢J

编辑：我的疑问得到了澄清。感谢您的回复。

这是大图

我想将“HttpOnly”附加到 JSESSIONID Cookie，但我想手动执行此操作，这意味着：

这是在映射到所有站点的 Servlet 过滤器中完成的（过滤器的 url 模式为“/*”）

1. 我怎样才能让这个过滤器只运行一次？也就是说，在登录时，或
2. 我真的必须在每个请求时运行并检查此 cookie 是否已被标记，如果答案为“是”则跳过？

有什么建议么 ？

PS：

1. 不要告诉我升级到 Servlet 3.0，因为我现在不能这样做
2. 忽略StringBuilder的不当使用和缺少变量sessionId

为 Tomcat 为 servlet 会话发送的 JSESSIONID cookie 设置过期日期的最佳方法是什么？

默认情况下，cookie 的过期日期似乎是“会话”，这意味着一旦浏览器重新启动，会话就会在客户端中消失。但我想保持它打开 12 小时，即使在浏览器重新启动后（然后会相应地在服务器中配置会话超时）。

有没有办法在 Tomcat 中设置过期日期，例如使用一些配置选项或扩展模块？或者是否有可靠的方法使用 Servlet 过滤器设置 JSESSIONID 的到期日期？

我目前正在尝试为 Tomcat 工作人员设置 Amazon 负载均衡器，但我遇到了一个问题。

我正在使用粘性会话，并且JSESSIONID大多数请求都可以使用 cookie。但有些请求在 URL 中有会话信息，如下所示：

http://myserver.com/contextPath/someAction;jsessionid=BA6853C23F795BD5EEDAEA996E601BB8

而且它不起作用（并且请求被转发给错误的工作人员）。

jsessionidURL 中是否支持 AWS 负载均衡器？如果没有，那么也许您知道一些解决方法？

例如，使用 Apache + mod_proxy_balancer 我可以这样定义它：

我正在使用spring MVC并且在jsessionid中遇到问题，我发现如果在浏览器中未启用cookie，则会将jsessionid注入到url中，从而产生这样的url：

http://localhost/categories;jsessionid=Bsls4aQFXA5RUDcmZKV5iw?cid=13001

实际上浏览器没有问题，但是当谷歌抓取我的网站时，谷歌抓取工具似乎没有 cookie :)，他们以这种形式存储我网站的网址，并且我的网站出现在搜索结果中，其网址类似于包含 jsessionid 的网址。

实际上它运行没有任何问题，但我更喜欢在没有 jsessionid 的情况下让 URL 清晰地出现在 Google 搜索结果中。

有什么帮助吗？

在为网站实现“记住我”功能时，为什么我们要使事情复杂化并且除了会话令牌之外还有一个称为记住我令牌的令牌。

据我所知，记住我令牌可用于登录和创建新的会话令牌，而会话令牌仅持续几分钟或直到用户关闭浏览器。为什么我们不能将会话令牌本身的到期持续时间增加到我们希望用户登录的所需时间？

我需要在运行在 tomcat 上的基于 flex 的应用程序中实现这样的功能，我想知道需要记住我的令牌

另外，是否有可能在tomcat中开箱即用地获得这个功能？

我们有一个 Web 小程序，它在 URL https://secure-ausomxeja.crmondemand.com/OnDemand/下加载……我们在同一个域中进行 Web 服务调用（https://secure-ausomxeja.crmondemand .com/Services/Integration) 使用 JQuery。我们无法理解这样一个事实，即 JSessionId（一个 httponly cookie）没有在 JQuery Web 服务调用中传递，即使所有事情都发生在同一个域中。有趣的是，如果 Web 服务 URL 以https://secure-ausomxeja.crmondemand.com/OnDemand/ ... 开头（虽然不正确），浏览器会正确传递 cookie。

问题是，对于要发送回服务器的 httponly cookie，是否足以具有相同的域，甚至还需要第一个目录的名称（在我们的例子中是 OnDemand）？

下面是不通过 JSessionId cookie 的代码片段-

下面是传递 JSessionId cookie 的代码片段（但没有意义，因为该位置没有可用的 Web 服务） -

默认情况下，Glassfish 将 JSESSIONID cookie 存储在上下文路径中，例如“/mysite”。是否可以更改此路径，例如更改为“/mysite/admin”？我希望该会话仅在我的网站的一部分中有效，而不必将其拆分为两个单独的网站。