是否有可能在tomcat servlet中禁用jsessionid?

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (2)
  • 关注 (0)
  • 查看 (78)

是否有可能在tomcat中关闭url中的jsessionid?jsessionid似乎不太适合搜索引擎。

提问于
用户回答回答于

可以仅使用此过滤器禁用搜索引擎,但我建议将其用于所有响应,因为它不仅仅是对搜索引擎不友好。它公开了可用于某些安全漏洞的会话ID

tomcat 6(6.0.30之前)

你可以使用tuckey改写过滤器。

Tuckey过滤器的配置示例:

<outbound-rule encodefirst="true">
  <name>Strip URL Session ID's</name>
  <from>^(.*?)(?:\;jsessionid=[^\?#]*)?(\?[^#]*)?(#.*)?$</from>
  <to>$1$2$3</to>
</outbound-rule>

Tomcat 6(6.0.30及以上)

可以在上下文配置中使用disableURLRewriting来禁用此行为。

Tomcat 7和Tomcat 8

从Tomcat 7开始,可以在会话配置中添加以下内容。

<session-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>
用户回答回答于
 <session-config>
     <tracking-mode>COOKIE</tracking-mode>
 </session-config> 

Tomcat 7和Tomcat 8在web-app web.xml中支持上述配置,这将禁用基于URL的会话。

扫码关注云+社区

领取腾讯云代金券