Question

当我在没有.../index.jsp的情况下访问页面HttpSession时，index.jsp仍会创建JSESSIONID-cookie。更糟的是，在负责人记录了该servlet，session.invalidate()似乎并没有解决问题。

index.jsp看起来像这样：

<%@page import="javax.servlet.http.Cookie"%>
<%@page contentType="text/html" pageEncoding="utf-8"%>
<%@page session="true"%>

<%!
    void removeJSessionIdCookie(HttpServletResponse response) {
        Cookie cookie = new Cookie("JESSIONID", "");
        cookie.setValue(null);
        cookie.setMaxAge(0);
        cookie.setPath("/");
        response.addCookie(cookie);
    }
%>


<%
    if (session != null) {
        out.print("Session not null.");
        if (session.getAttribute(Config.CURRENT_USER_ATTRIBUTE) != null) {
            out.print("have user"); 
            request.getRequestDispatcher("app.jsp").forward(request, response);
            return;
        } else {
            out.println("no user here");
            session.invalidate();
            removeJSessionIdCookie(response);
        }
    }
%>
<html>...</html>

Answer 1

如果您的session="true"指令中有<%@page%>，那么如果调用客户端没有带来会话cookie（即还没有会话），那么JSP框架代码将始终创建一个新会话。

您需要将session="false"放在page指令中；这会使框架停止为您创建会话。

JSP页面在不合适的地方创建JSESSIONID cookie

1 个答案: