Ist es möglich, zu deaktivieren jsessionid tomcat servlet?

Ist es möglich, Abzweigung jsessionid in der url in tomcat? die jsessionid scheint nicht allzu freundliche Suchmaschine.

InformationsquelleAutor Roy Chan | 2009-06-07

  1. 67

    Können Sie deaktivieren nur für Suchmaschinen mit diesem filter, aber ich würde empfehlen verwenden Sie für alle Antworten als es ist schlimmer als nur Suchmaschinen-unfreundlich. Macht es die session-ID, die verwendet werden können, für bestimmte Sicherheits-exploits (mehr info).

    Tomcat 6 (pre 6.0.30)

    Können Sie die tuckey-rewrite-filter.

    Beispiel config für Tuckey-filter:

    <outbound-rule encodefirst="true">
  <name>Strip URL Session ID's</name>
  <from>^(.*?)(?:\;jsessionid=[^\?#]*)?(\?[^#]*)?(#.*)?$</from>
  <to>$1$2$3</to>
</outbound-rule>

    Tomcat 6 (6.0.30 und ab)

    Können Sie disableURLRewriting in der Kontext-Konfiguration, um dieses Verhalten deaktivieren.

    Tomcat 7 und Tomcat 8

    Vom Tomcat 7 Jahren können Sie fügen Sie den folgenden in der Sitzung config.

    <session-config>
    <tracking-mode>COOKIE</tracking-mode>
</session-config>
    Warum verwenden Sie ein rewriter, wenn Sie können einfach nicht schaffen, ein session-cookie?
    Bitte sehen Sie sich den Termin für diese Antwort. Tomcat 7 und die tracking-Funktion nicht zur Verfügung standen im Jahr 2009. Aktualisiert mit der pro-version-Informationen jetzt.
    Tomcat 6 unterstützt die "disableURLRewriting' Attribut des Kontext-element, welches dies tut. Siehe tomcat.apache.org/tomcat-6.0-doc/config/context.html
    Danke, das habe Hinzugefügt, Tomcat 6.0.30. Dazu werde ich die Antwort wieder.

    InformationsquelleAutor Pool

  2. 51
     <session-config>
     <tracking-mode>COOKIE</tracking-mode>
 </session-config>

    Tomcat 7 und Tomcat-8-Unterstützung der oben genannten config in web-app web.xml, die deaktiviert die URL-basierende sessions.

    Vergessen Sie nicht, verwenden web-app_3.0 xsd: <web-app xmlns:xsi="w3.org/2001/XMLSchema-instance" xmlns="java.sun.com/xml/ns/javaee" xmlns:web="java.sun.com/xml/ns/javaee/web-app_3_0.xsd" xsi:schemaLocation="java.sun.com/xml/ns/javaee java.sun.com/xml/ns/javaee/web-app_3_0.xsd" id="CHANGEME" version="3.0">

    InformationsquelleAutor Spektr

  3. 19

    Ist es möglich, dies zu tun in Tomcat 6.0 mit:
    disableURLRewriting

    http://tomcat.apache.org/tomcat-6.0-doc/config/context.html

    z.B.

    <?xml version='1.0' encoding='utf-8'?>
<Context docBase="PATH_TO_WEBAPP" path="/CONTEXT" disableURLRewriting="true">
</Context>

    Innerhalb von Tomcat 7.0, das gesteuert wird mit den folgenden in einer Anwendung:
    ServletContext.setSessionTrackingModes()

    Tomcat 7.0 folgt der Servlet-3.0-Spezifikation.

    InformationsquelleAutor Doug

  4. 13

    Verwenden Filter auf alle URLs, die umschließt die response im HttpServletResponseWrapper , gibt einfach die URL unverändert aus encodeRedirectUrl, encodeRedirectURL, encodeUrl und encodeURL.

    Beispiel-code ist hier verfügbar: randomcoder.com/articles/jsessionid-considered-harmful Der server möglicherweise nach unten; ich hatte, um es zu Holen aus der Google-cache.
    Ich mochte diesen Ansatz.

    InformationsquelleAutor Andrew Duffy

  5. 5

    Zitat von Pool ' s Antwort:

    Können Sie die tuckey-rewrite-filter.

    Deaktivieren Sie für die Suche einfach
    Motoren mit diesem filter, aber ich würde
    empfehlen die Verwendung es für alle beantwortungen
    es ist schlimmer, als nur die Suchmaschine
    unfreundlich. Macht es die session ID
    was kann verwendet werden für bestimmte Sicherheits -
    exploits (mehr info).

    Es ist erwähnenswert,, dass dies wird immer noch erlauben, cookie-basiertes session-handling, obwohl der jsessionid nicht mehr sichtbar.
    (entnommen aus seinem anderen post: Kann ich das ausschalten der HttpSession in web.xml?)

    PS. Ich habe nicht genug Ruf zu kommentieren, sonst hätte ich dies nur Hinzugefügt, um seinen Beitrag oben als Kommentar.

    InformationsquelleAutor Andreas

  6. 4

    In Tomcat 6.0, die Sie verwenden konnten disableURLRewriting="true" in context.xml von Ihrem /config Pfad von Sie die tomcat-Installation.

    http://tomcat.apache.org/tomcat-6.0-doc/config/context.html

    context.xml Datei

    <?xml version='1.0' encoding='utf-8'?>
<!--
  Licensed to the Apache Software Foundation (ASF) under one or more
  contributor license agreements.  See the NOTICE file distributed with
  this work for additional information regarding copyright ownership.
  The ASF licenses this file to You under the Apache License, Version 2.0
  (the "License"); you may not use this file except in compliance with
  the License.  You may obtain a copy of the License at

      http://www.apache.org/licenses/LICENSE-2.0

  Unless required by applicable law or agreed to in writing, software
  distributed under the License is distributed on an "AS IS" BASIS,
  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  See the License for the specific language governing permissions and
  limitations under the License.
-->
<!-- The contents of this file will be loaded for each web application -->
<Context disableURLRewriting="true">

    <!-- Default set of monitored resources -->
    <WatchedResource>WEB-INF/web.xml</WatchedResource>

    <!-- Uncomment this to disable session persistence across Tomcat restarts -->
    <!--
    <Manager pathname="" />
    -->

    <!-- Uncomment this to enable Comet connection tacking (provides events
         on session expiration as well as webapp lifecycle) -->
    <!--
    <Valve className="org.apache.catalina.valves.CometConnectionManagerValve" />
    -->

</Context>

    ...

    Nun tomcat-Ausgabe, die es Suchmaschinen-freundlich...

    Genießen

    InformationsquelleAutor myset

  7. 2

    Auch wenn Sie den Apache vor den Tomcat können Sie die Streifen aus dem jsession mit einem mod_rewrite-filter.

    Fügen Sie Folgendes in Ihre apache-Konfiguration.

    #Fix up tomcat jsession appending rule issue
RewriteRule  ^/(.*);jsessionid=(.*) /$1 [R=301,L]

    Wird dies tun, eine 301-Weiterleitung auf eine Seite ohne jsessionid. Natürlich wird dies komplett deaktivieren url jsessionid s, aber das ist, was ich brauchte.

    Cheers,
    Daneben

    InformationsquelleAutor Mark Lynch

  8. 2

    Standardmäßig cookies aktiviert sind, in den Tomcat-server(Sie können explizit festlegen, es durch die Verwendung von cookies=true " im element der server.xml). Aktivieren von cookies bedeutet, dass jsessionID nicht angehängt werden, um URL ' s seit der Sitzung verwaltet werden, die mit Hilfe von cookies.
    Jedoch, auch nach cookies aktiviert sind, werden jsessionID s werden an die URL angehängt für die erste Anfrage, da der webserver nicht weiß, dass in dieser Phase, wenn die cookies aktiviert sind. Zu entfernen, wie jsessionIDs, können Sie mittels tuckey rewrite-Regeln:

    Finden Sie weitere Informationen dazu in http://javatechworld.blogspot.com/2011/01/how-to-remove-jsessionid-from-url-java.html

    <outbound-rule encodefirst="true">
    <note>Remove jsessionid from embedded urls - for urls WITH query parameters</note>
    <from>^/(.*);jsessionid=.*[?](.*)$</from>
    <to encode="false">/$1?$2</to>
</outbound-rule>

<outbound-rule encodefirst="true">
    <note>Remove jsessionid from embedded urls - for urls WITHOUT query parameters</note>
    <from>^/(.*);jsessionid=.*[^?]$</from>
    <to encode="false">/$1</to>
</outbound-rule>

    Finden Sie weitere Informationen dazu in http://javatechworld.blogspot.com/2011/01/how-to-remove-jsessionid-from-url-java.html

    Beachten Sie, dass der webbrowser muss noch cookies aktiviert haben.

    InformationsquelleAutor techwiz

Schreibe einen Kommentar