Действительно ли возможно отключить jsessionid в сервлете кота?
Столкнулся с этим на днях, еще не пробовал, подумал, но, похоже, работает на Android: http://crest.codegist.org
3 ответа
Вы можете отключить этот фильтр только для поисковых систем, но я бы посоветовал использовать его для всех ответов , так как это хуже, чем просто недружелюбие поисковых систем. Он предоставляет идентификатор сеанса, который может использоваться для определенных уязвимостей безопасности ( подробнее ).
Tomcat 6 (до 6.0.30)
Вы можете использовать фильтр перезаписи tuckey .
Пример конфигурации для фильтра Таки:
<outbound-rule encodefirst="true">
<name>Strip URL Session ID's</name>
<from>^(.*?)(?:\;jsessionid=[^\?#]*)?(\?[^#]*)?(#.*)?$</from>
<to>$1$2$3</to>
</outbound-rule>
Tomcat 6 (6.0.30 и новее)
Вы можете использовать disableURLRewriting в конфигурации контекста, чтобы отключить это поведение.
] Tomcat 7 и Tomcat 8
Начиная с Tomcat 7 и далее , вы можете добавить в конфигурацию сеанса следующее:
<session-config>
<tracking-mode>COOKIE</tracking-mode>
</session-config>
Используйте фильтр для всех URL-адресов, который оборачивает ответ в HttpServletResponseWrapper , который просто возвращает URL-адрес без изменений из ] encodeRedirectUrl , encodeRedirectURL , encodeUrl и encodeURL .
Цитата из ответа Pool:
Вы можете использовать фильтр перезаписи tuckey.
Вы можете отключить этот фильтр только для поисковых систем, но я бы посоветовал использовать его для всех ответов, поскольку это хуже, чем просто поисковая система {{1} } недружелюбно. Он предоставляет идентификатор сеанса , который может использоваться для определенных уязвимостей безопасности (дополнительная информация).
Стоит отметить, что это по-прежнему позволит обрабатывать сеанс на основе файлов cookie, даже если jsessionid больше не отображается. (взято из его другого сообщения: Могу ли я отключить HttpSession в web.xml ? )
PS. У меня недостаточно репутации, чтобы комментировать, иначе я бы добавил это в его пост выше в качестве комментария.