Tomcat 7源码学习笔记 -6 encodeURL深度解析
在servlet中,当客户端禁用了cookie的情况下,为了保存jsessionid,我们可以采用URL重写的方式把jsessionid追加在url末尾,这样当客户点击链接的时候,就会随着url把jsessionid一起传给服务端,从而实现session机制。那么如何把jsessionid保存在url中呢?方法就是:
1>创建一个session
2>调用response.encodeURL(String url)方法
3>把返回的url嵌入动态生成的html文中返回客户端
HttpSession session = request.getSession();
String encodedURL = response.encodeURL("/test/index.html");
String htmlStr = "<html> <body><a href=\"" + encodedURL + "\">Home</a>" + "</body></html>";
response.getWriter().print(htmlStr);
客户端浏览器会得到下面这样的html文:
<html>
<body>
<a href="/test/index.html;jsessionid=7800100BD79C77BBFD3DA5E735D835B5">Home</a>
</body>
</html>
那么tomcat内部是怎么对url进行处理的呢?我们来看一下encodeURL方法的内部实现。
具体代码在org.apache.catalina.connector.Response类中。
@Overridepublic String encodeURL(String url) {
String absolute;
try{
absolute=toAbsolute(url);
}catch(IllegalArgumentExceptioniae){
//RelativeURL
returnurl;
}if (isEncodeable(absolute)) {
//W3cspecclearlysaid
if(url.equalsIgnoreCase("")){
url=absolute;
}elseif(url.equals(absolute)&&!hasPath(url)){
url+='/';
}
return(toEncoded(url,request.getSessionInternal().getIdInternal()));
}else{
return(url);
}}
大致分三个步骤:
1>将我们传入的url转换成绝对url,如果已经是绝对url,就不需要再转换了
2>根据绝对url判断是否符合增加jsessionid的条件
3>如果符合条件的话,就进行增加jsessionid的处理,否则直接把传入的url返回
先说第一步,String toAbsolute(String location)方法
1.如果location已经是绝对url,直接返回location
比如:location以http:开头或者https:开头
2.如果location以//开头,从request中取出schema,然后加上冒号:,再加上location后返回
比如:location是//localhost:8080/test/index.html,从request中取出的schema为http,
那么就返回:http://localhost:8080/test/index.html
3.如果location以/开头,那么从request中取出schema,server name,port,然后再加上location返回
比如:location是/test/action/login,取出的schema是http,server name是localhost,port是8080,
那么返回:http://localhost:8080/test/action/login
如果拼接完的绝对url中含有/./或者/../这样的字符串的话,先去除/./和/../然后再返回。
4.如果location是一个普通的相对url,比如:login/login.jsp,那么
a>从request中取出schema,server name,port。
b>从RequestURI中得到relativePath,
比如当前的请求的url是http://localhost:8080/test/index/abc
那么RequestURI就是/test/index/abc
relativePath就是/test/index(到最后一个/为止)
如果relativePath中有汉字或者特殊字符的话,需要进行utf8编码
url的安全字符包括:
a-z
A-Z
0-9
$ - _ . ! * \ ( ) ,
安全字符以外的字符都需要进行utf8编码。
c>进行拼接,返回下面的绝对url
http://localhost:8080/test/index/login/login.jsp
如果拼接完的绝对url中含有/./或者/../这样的字符串的话,先去除/./和/../然后再返回。
接着说第二步,boolean isEncodeable(final String location)方法
1〉如果location以#开头,属于页面的内部参照,不符合条件,return false
2〉如果目前的request没有可用的session,那么不符合条件,return false
3〉如果客户端可以使用cookie,那么不需要url重写,return false
4〉如果当前Context不支持url重写,return false
5〉对绝对url进行校验:
a>url中的schema是否和request中的是否一致,不一致的话,return false,也就是说禁止http和https之间的跳转
b>url中的server name和request中的是否一致,不一致的话,return false,也就是说禁止跨域访问
c>端口号是否一致,不一致的话,return false
d>context path是否一致,不一致的话,return false
e>绝对url中是否包含;jsessionid=7800100BD79C77BBFD3DA5E735D835B5
包含的话,return false,也就是说禁止自己在url中添加
最后说第三步,String toEncoded(String url, String sessionId)方法
1〉如果前面的校验都通过的话,就调用toEncoded方法进行实际的jsessionid的添加
添加的时候如果url中含有querystring,那么回把querystring部分放到最后,比如:
url为/test/index.html?a=hello&b=world,
那么返回:/test/index.html;jsessionid=7800100BD79C77BBFD3DA5E735D835B5?a=hello&b=world
2〉如果前面的校验没有通过,那么直接返回传入的url
到此结束,一个小小的encodeURL方法,内部是如此复杂,真是汗颜啊。
如果不调用encodeURL,也可以自己追加。方法如下:
String encodedUrl = "/test/index.html" + ";jsessionid=" + request.getSession().getId() + "?a=hello&b=world";