Tomcat 7源码学习笔记 -6 encodeURL深度解析补充

之前提到调用response.encodeURL(String url)方法的时候，如果客户端支持cookie，那么不做任何处理，直接返回传进去的url，因为jsessionid可以写入cookie中，所以不需要url重写。其实所说的客户端支持cookie并不严谨，因为在客户端支持cookie的情况下，调用response.encodeURL(String url)方法，也会遇到对传进去的url进行重写的情况。那么什么情况下会出现这个问题呢？请看下面:

 

客户端支持cookie，第一次访问某个servlet，这时servlet接收到的request的cookie中没有jsessionid信息，这时encodeURL内部会认为客户端不支持cookie，所以会重写传进去的url，即使你在请求url中手动添加了正确的;jsessionid=30A7F107A1E5B1E7250622C158244032信息，也仍然会重写传进去的url。

 

由此可以得出encodeURL内部的具体的判定规则：

request的cookie中是否有正确的jsessionid信息。

有的话，就不重写传进去的url。否则符合重写url的条件（当然还有其他条件也必须符合）。

 

从代码中也可以得出相同的结论：

 

boolean isEncodeable(final String location)方法中

 

if (hreq.isRequestedSessionIdFromCookie()) {
        return (false);
}

 

isRequestedSessionIdFromCookie()方法如下：

public boolean isRequestedSessionIdFromCookie() {

        if (requestedSessionId == null) {
            return false;
        }

        return requestedSessionCookie;
}

 requestedSessionId是指从客户端得到的jsessionid的值，具体采用cookie传递还是url传递都没关系。

1.如果requestedSessionId为空，说明客户端没有传入jsessionid，当然cookie中也没有，所以符合url重写的条件。

2.如果requestedSessionId有值，再进一步判断这个jsessionid是否是从cookie中取到的，如果是那么就不用重写url，否则重写。

 

上面这些分析可以看出：

1.servlet或者说tomcat其实是无法准确地获知浏览器是否禁用了cookie。

2.即使浏览器禁用了cookie，只要servlet里面创建了session，那么jsessionid同样会写入response的cookie，并返回给客户端，只是浏览器不往本地cookie中写，直接忽略掉了。

3.只要在request的cookie中没有找到jsessionid，那么就可以进行url重写。

 

最后，顺便看一下HttpServletRequest中的下面这几个方法：

public String getRequestedSessionId() //获取客户端传过来的jsessionid的值

public boolean isRequestedSessionIdFromCookie() //request的cookie中是否有jsessionid

public boolean isRequestedSessionIdFromURL() //request url中是否有jsessionid

 

那么，有一个问题，如果客户端的cookie中含有jsessionid，同时request url中也含有jsessionid，这时候会怎么样呢？

 

答案是：使用cookie中的jsessionid

1.优先判断cookie中有没有，cookie中有的话，就使用cookie中的jsessionid

2.如果cookie中没有，再看request url中有没有

 

isRequestedSessionIdFromCookie()返回 true

isRequestedSessionIdFromURL()返回 false

 

评论

1 楼 jacktao219 2016-01-06  

赞一个！ 好文，但实际测试后发现第一次 浏览器也木有把url rewrite。。