Sembra una domanda stupida a cui la risposta sarebbe "Non utilizzare encodeURL()!" ma sto lavorando con un codebase che utilizza i tag di ancoraggio netui nei JSP e ho bisogno di disabilitare la scrittura di JSESSIONID negli URL in quanto è un rischio per la sicurezza.Come configurare Tomcat per non codificare l'ID di sessione nell'URL quando viene richiamato HttpServletResponse.encodeURL()
In WebLogic, è possibile configurarlo configurando url-riscrittura-abilitato in weblogic.xml (lo so perché ho scritto quella funzione nel server WebLogic!). Tuttavia, non riesco a trovare un'opzione di configurazione equivalente per Tomcat.
Se si considera avere l'ID di sessione sul URL, un rischio per la sicurezza, quindi come si fa a meno delle stesse informazioni in un cookie? – skaffman
Si potrebbe (inavvertitamente/accidentalmente) copypaste un URL con 'jsessionid' dalla barra degli indirizzi e darlo a qualcun altro. L'altro, sia in modo inconsapevole o volgare e con cattive intenzioni, potrebbe richiedere la pagina con questo URL come se fosse l'utente originale. Con i cookie, 'jsessionid' non è direttamente visibile all'utente finale. Vedi anche http://en.wikipedia.org/wiki/Session_fixation – BalusC
Questo non suona come sicurezza, è più un problema di sicurezza. Se la sicurezza contro gli exploit è la preoccupazione, sicuramente un cookie non è più sicuro di un URL riscritto. – skaffman