起因:在做一个系统简单的sso单点登录,并没有sso服务,只是两个系统之间互通。当把缓存清空,第一次跳转到另外一个系统一直报错404,再次点击就正常。
原因:看了报错信息,security.web.firewall.RequestRejectedException: The request was rejected because the URL contained a potentially malicious String ";"
经过查资料后发现,url里面还包括了jsessionid,只是不在地址栏显示而已,所以代码中重定向的代码 return "redirect:/" 跳转就404
jsessionid作用:通过在URL后面加上;jsessionid=xxx来传递session id,这样即使Cookie不可用时,也可以保证session的可用性
当一个新的session被创建时,server并不确定客户端是否支持cookies,所以它生成了一个cookie,就是URL中jsessionid的值。当客户端在第二次带着cookie返回时,服务器就知道jsessionid不是必须的,所以就会删掉它。如果客户端没有带着cookie返回,服务器就会继续在url中添加jsessionid参数。
这就解释了,为什么404,以及为什么第一次404,再次点击就正常
解决方案
1.放开安全限制,在springboot application中加入这个
@Bean
public HttpFirewall allowUrlSemicolonHttpFirewall() {
StrictHttpFirewall firewall = new StrictHttpFirewall();
firewall.setAllowSemicolon(true);
return firewall;
}问题解决,但是在url路径上,会把jsessionid也显示出来。感觉不是最优解
2.HttpServletResponse
使用 sendRedirect()方法重定向,跳转一切正常,路径也与预想的一样。
