Tomcat 7源码学习笔记 -6 encodeURL深度解析

在servlet中，当客户端禁用了cookie的情况下，为了保存jsessionid,我们可以采用URL重写的方式把jsessionid追加在url末尾，这样当客户点击链接的时候，就会随着url把jsessionid一起传给服务端，从而实现session机制。那么如何把jsessionid保存在url中呢？方法就是：

 

1>创建一个session

2>调用response.encodeURL(String url)方法

3>把返回的url嵌入动态生成的html文中返回客户端

 

HttpSession session = request.getSession();

String encodedURL = response.encodeURL("/test/index.html");

String htmlStr = "<html> <body><a href=\"" + encodedURL  + "\">Home</a>" + "</body></html>";

response.getWriter().print(htmlStr);

 

客户端浏览器会得到下面这样的html文：

 

<html>

<body>

<a href="/test/index.html;jsessionid=7800100BD79C77BBFD3DA5E735D835B5">Home</a>

</body>

</html>

 

那么tomcat内部是怎么对url进行处理的呢？我们来看一下encodeURL方法的内部实现。

具体代码在org.apache.catalina.connector.Response类中。 

 

@Override
public String encodeURL(String url) {

        String absolute;
        try {
            absolute = toAbsolute(url);
        } catch (IllegalArgumentException iae) {
            // Relative URL
            return url;
        }

        if (isEncodeable(absolute)) {
            // W3c spec clearly said
            if (url.equalsIgnoreCase("")) {
                url = absolute;
            } else if (url.equals(absolute) && !hasPath(url)) {
                url += '/';
            }
            return (toEncoded(url, request.getSessionInternal().getIdInternal()));
        } else {
            return (url);
        }

}

 

大致分三个步骤：

1>将我们传入的url转换成绝对url，如果已经是绝对url，就不需要再转换了

2>根据绝对url判断是否符合增加jsessionid的条件

3>如果符合条件的话，就进行增加jsessionid的处理，否则直接把传入的url返回

 

先说第一步，String toAbsolute(String location)方法

1.如果location已经是绝对url，直接返回location

比如：location以http:开头或者https:开头

 

2.如果location以//开头，从request中取出schema,然后加上冒号:，再加上location后返回

比如：location是//localhost:8080/test/index.html,从request中取出的schema为http,

那么就返回：http://localhost:8080/test/index.html

 

3.如果location以/开头，那么从request中取出schema,server name，port,然后再加上location返回

比如：location是/test/action/login，取出的schema是http，server name是localhost，port是8080,

那么返回：http://localhost:8080/test/action/login

 

如果拼接完的绝对url中含有/./或者/../这样的字符串的话，先去除/./和/../然后再返回。

 

4.如果location是一个普通的相对url，比如：login/login.jsp,那么

a>从request中取出schema,server name,port。

b>从RequestURI中得到relativePath，

比如当前的请求的url是http://localhost:8080/test/index/abc

那么RequestURI就是/test/index/abc

relativePath就是/test/index(到最后一个/为止)

如果relativePath中有汉字或者特殊字符的话，需要进行utf8编码

url的安全字符包括：

a-z

A-Z

0-9

$ - _ . ! * \ ( ) ,

 

安全字符以外的字符都需要进行utf8编码。

 

c>进行拼接,返回下面的绝对url

http://localhost:8080/test/index/login/login.jsp

 

如果拼接完的绝对url中含有/./或者/../这样的字符串的话，先去除/./和/../然后再返回。

 

 

接着说第二步，boolean isEncodeable(final String location)方法

 

1〉如果location以#开头，属于页面的内部参照，不符合条件，return false

2〉如果目前的request没有可用的session，那么不符合条件，return false 

3〉如果客户端可以使用cookie，那么不需要url重写，return false

4〉如果当前Context不支持url重写，return false

5〉对绝对url进行校验：

  a>url中的schema是否和request中的是否一致，不一致的话，return false，也就是说禁止http和https之间的跳转

  b>url中的server name和request中的是否一致，不一致的话，return false，也就是说禁止跨域访问

  c>端口号是否一致，不一致的话，return false

  d>context path是否一致，不一致的话，return false

  e>绝对url中是否包含;jsessionid=7800100BD79C77BBFD3DA5E735D835B5

      包含的话，return false，也就是说禁止自己在url中添加

 

最后说第三步，String toEncoded(String url, String sessionId)方法

1〉如果前面的校验都通过的话，就调用toEncoded方法进行实际的jsessionid的添加

 

添加的时候如果url中含有querystring，那么回把querystring部分放到最后，比如：

url为/test/index.html?a=hello&b=world，

那么返回：/test/index.html;jsessionid=7800100BD79C77BBFD3DA5E735D835B5?a=hello&b=world

 

2〉如果前面的校验没有通过，那么直接返回传入的url

 

到此结束，一个小小的encodeURL方法，内部是如此复杂，真是汗颜啊。

 

如果不调用encodeURL,也可以自己追加。方法如下：

 

String encodedUrl = "/test/index.html" + ";jsessionid=" + request.getSession().getId() + "?a=hello&b=world";