`

Tomcat 7源码学习笔记 -6 encodeURL深度解析

阅读更多

在servlet中,当客户端禁用了cookie的情况下,为了保存jsessionid,我们可以采用URL重写的方式把jsessionid追加在url末尾,这样当客户点击链接的时候,就会随着url把jsessionid一起传给服务端,从而实现session机制。那么如何把jsessionid保存在url中呢?方法就是:

 

1>创建一个session

2>调用response.encodeURL(String url)方法

3>把返回的url嵌入动态生成的html文中返回客户端

 

HttpSession session = request.getSession();

String encodedURL = response.encodeURL("/test/index.html");

String htmlStr = "<html> <body><a href=\"" + encodedURL  + "\">Home</a>" + "</body></html>";

response.getWriter().print(htmlStr);

 

客户端浏览器会得到下面这样的html文:

 

<html>

<body>

<a href="/test/index.html;jsessionid=7800100BD79C77BBFD3DA5E735D835B5">Home</a>

</body>

</html>

 

那么tomcat内部是怎么对url进行处理的呢?我们来看一下encodeURL方法的内部实现。

具体代码在org.apache.catalina.connector.Response类中。 

 

@Override
public String encodeURL(String url) {

        String absolute;
        try {
            absolute = toAbsolute(url);
        } catch (IllegalArgumentException iae) {
            // Relative URL
            return url;
        }

        if (isEncodeable(absolute)) {
            // W3c spec clearly said
            if (url.equalsIgnoreCase("")) {
                url = absolute;
            } else if (url.equals(absolute) && !hasPath(url)) {
                url += '/';
            }
            return (toEncoded(url, request.getSessionInternal().getIdInternal()));
        } else {
            return (url);
        }

}

 

大致分三个步骤:

1>将我们传入的url转换成绝对url,如果已经是绝对url,就不需要再转换了

2>根据绝对url判断是否符合增加jsessionid的条件

3>如果符合条件的话,就进行增加jsessionid的处理,否则直接把传入的url返回

 

先说第一步,String toAbsolute(String location)方法

1.如果location已经是绝对url,直接返回location

比如:location以http:开头或者https:开头

 

2.如果location以//开头,从request中取出schema,然后加上冒号:,再加上location后返回

比如:location是//localhost:8080/test/index.html,从request中取出的schema为http,

那么就返回:http://localhost:8080/test/index.html

 

3.如果location以/开头,那么从request中取出schema,server name,port,然后再加上location返回

比如:location是/test/action/login,取出的schema是http,server name是localhost,port是8080,

那么返回:http://localhost:8080/test/action/login

 

如果拼接完的绝对url中含有/./或者/../这样的字符串的话,先去除/./和/../然后再返回。

 

4.如果location是一个普通的相对url,比如:login/login.jsp,那么

a>从request中取出schema,server name,port。

b>从RequestURI中得到relativePath,

比如当前的请求的url是http://localhost:8080/test/index/abc

那么RequestURI就是/test/index/abc

relativePath就是/test/index(到最后一个/为止)

如果relativePath中有汉字或者特殊字符的话,需要进行utf8编码

url的安全字符包括:

a-z

A-Z

0-9

$ - _ . ! * \ ( ) ,

 

安全字符以外的字符都需要进行utf8编码。

 

c>进行拼接,返回下面的绝对url

http://localhost:8080/test/index/login/login.jsp

 

如果拼接完的绝对url中含有/./或者/../这样的字符串的话,先去除/./和/../然后再返回。

 

 

接着说第二步,boolean isEncodeable(final String location)方法

 

1〉如果location以#开头,属于页面的内部参照,不符合条件,return false

2〉如果目前的request没有可用的session,那么不符合条件,return false 

3〉如果客户端可以使用cookie,那么不需要url重写,return false

4〉如果当前Context不支持url重写,return false

5〉对绝对url进行校验:

  a>url中的schema是否和request中的是否一致,不一致的话,return false,也就是说禁止http和https之间的跳转

  b>url中的server name和request中的是否一致,不一致的话,return false,也就是说禁止跨域访问

  c>端口号是否一致,不一致的话,return false

  d>context path是否一致,不一致的话,return false

  e>绝对url中是否包含;jsessionid=7800100BD79C77BBFD3DA5E735D835B5

      包含的话,return false,也就是说禁止自己在url中添加

 

最后说第三步,String toEncoded(String url, String sessionId)方法

1〉如果前面的校验都通过的话,就调用toEncoded方法进行实际的jsessionid的添加

 

添加的时候如果url中含有querystring,那么回把querystring部分放到最后,比如:

url为/test/index.html?a=hello&b=world

那么返回:/test/index.html;jsessionid=7800100BD79C77BBFD3DA5E735D835B5?a=hello&b=world

 

2〉如果前面的校验没有通过,那么直接返回传入的url

 

到此结束,一个小小的encodeURL方法,内部是如此复杂,真是汗颜啊。

 

如果不调用encodeURL,也可以自己追加。方法如下:

 

String encodedUrl = "/test/index.html" + ";jsessionid=" + request.getSession().getId() + "?a=hello&b=world";

 

分享到:
评论

相关推荐

    Tomcat_Session的持久化

    Tomcat_Session 的持久化 在 Web 应用程序中,Session 是一种用来跟踪用户状态的机制。Tomcat_Session 的持久化是指将 HttpSession 对象保存到文件系统或数据库中,以便在服务器关闭或重启时可以恢复 Session 数据...

    EncodeDecode经典加密解密+VB源码.rar

    EncodeDecode经典加密解密+VB源码.rarEncodeDecode经典加密解密+VB源码.rarEncodeDecode经典加密解密+VB源码.rarEncodeDecode经典加密解密+VB源码.rar

    php二维码扩展库exqrcode.zip

    $instance-&gt;setSize(7); //$instance-&gt;setDpi(72); $instance-&gt;encodeGeneral("hello world"); var_dump($instance-&gt;writeToFile&#40;"/tmp/qrgeneral.png"&#41;); $instance-&gt;encodeUrl("http://www.baidu.com"); ...

    comUtils前端代码常用工具类

    - `encodeURL`和`decodeURL`:对URL进行编码和解码。 - `parseQuery`:解析URL查询字符串为对象。 - `buildQuery`:将对象转换为URL查询字符串。 6. **DOM操作**: - `getElementById`、`...

    java练习题

    Java练习题,特别是针对J2EE的,是提升Java Web开发技能的重要途径。以下是一些相关的Java和J2EE知识点: 1. **Servlet生命周期**: - `init()` 方法:在Servlet...在学习和解答这些练习题时,理解这些概念至关重要。

    servlet学习笔记

    上某培训班的servlet笔记 Session 功能的实现依赖cookie URL 重写: 就是把原来送往客户端页面中的所有URL,重新编写. 怎么重新编写 String newURL=response.encodeURL(oldURL); 目的:保证session在...

    servlet2.4doc

    The default behavior of this method is to call encodeURL(String url) on the wrapped response object. encodeURL(String) - Method in interface javax.servlet.http.HttpServletResponse Encodes the ...

    JSP9大内置对象.pdf

    ##### 6. **out对象** - **定义**:`out`对象用于向客户端输出数据。 - **主要方法**: - `print(String text)`:向客户端输出文本。 - `println(String text)`:向客户端输出文本并换行。 ##### 7. **config...

    关于web回话跟踪session

    例如,在Servlet或JSP文件中,可以使用`HttpServletResponse`接口中的`encodeURL()`和`encodeRedirectURL()`方法来对URL进行编码。这两个方法的作用在于确保即使在没有Cookie的情况下,也能通过URL重写的方式维持...

    commons-codec-1.15-bin.rar

    2. **URL编码和解码**:在处理网络请求时,URL中可能包含特殊字符,这些字符需要进行编码以避免引起解析错误。通过HttpUtils类的encodeUrl()和decodeUrl()方法,开发者可以轻松地对URL进行编码和解码。 3. **HEX...

    用Java写的登录注册功能

    6. **Spring Boot集成**:现代Java Web开发往往使用Spring Boot,它简化了Spring应用的启动和配置,自动配置了许多常用组件,如数据源、Tomcat服务器等。 7. **前端交互**:虽然描述中未提及,但通常会结合HTML、...

    JAVA程序开发技术

    - **方法**:`response.encodeURL(url)`. **5.7 JSP及结构** **5.7.1 JSP的组成** - **组成部分**: - HTML标签; - JSP指令; - JSP动作; - 表达式; - Java脚本。 **5.7.2 JSP的隐含对象** - **常见对象*...

    JAVA jSOUP解析html

    public static String encodeUrl(String url) { // URL编码 } public static String decodeUrl(String encodedUrl) { // URL解码 } public static String buildUrl(String baseUrl, String path) { // ...

    JSR-168 Portlet指南.doc

    6. **处理portlet事件**:JSR-168允许portlet之间通过发布和订阅事件进行通信。开发者应充分利用这一特性来实现portlet间的协作和数据共享。 7. **安全考虑**:确保portlet遵循安全最佳实践,如使用安全的HTTP头,...

    Java Web应用开发 51 课堂案例-应用Servlet读取Session数据.docx

    - `res.encodeURL("Session")`:在链接中,Servlet会自动处理Session ID的编码,以确保在URL重写时正确地处理Session。 6. **Servlet生命周期方法**: - 代码7-38行重载了`doGet()`方法,这是Servlet处理HTTP GET...

    用JSP做的网上交友页面

    &lt;a href="&lt;%=response.encodeURL("showMember.jsp")%&gt;"&gt;浏览会员| &lt;a href="&lt;%=response.encodeURL("register.jsp")%&gt;"&gt;会员注册| &lt;a href="&lt;%=response.encodeURL("login.jsp")%&gt;"&gt;会员登录| ...

    jsp基础

    - URL重写:`response.encodeURL()`,将session ID添加到URL中,以保持会话状态。 - 添加cookie:`response.addCookie()`,向响应中添加cookie。 #### 三、JSP页面构成与特性 JSP(JavaServer Pages)是一种简化...

    javax.servlet.http使用帮助.docx

    - **encodeURL(String url)**:对 URL 进行编码。 - **decodeURL(String url)**:对 URL 进行解码。 #### 三、示例代码 以下是一个简单的示例,展示了如何使用 `HttpServletRequest` 和 `HttpServletResponse` ...

    JSP面试经常问到的知识

    这允许JSP引擎将JSP代码解析并转换为Servlet。 2. **线程安全的JSP**: - 通过在JSP页面中添加`&lt;%@ page isThreadSafe="false" %&gt;`指令,可以确保JSP实例不被多个线程同时访问,从而实现线程安全。 3. **处理HTML...

Global site tag (gtag.js) - Google Analytics