環境:tomcat7,windows10,jdk1.8,火狐瀏覽器。
如果直接訪問servlet而servlet中沒有獲取session的操作即沒有 HttpSession session = req.getSession(true);
則response響應中沒有Set-Cookie設置 ,
即沒有 Set-Cookie: JSESSIONID=65E1AD760F090A496016B193446B18C8; Path=/web; HttpOnly 操作,
但如果有session創建 則就會有Set-Cookie設置。
Jsp頁面默認是開啓session創建的 所有你訪問一個Jsp頁面就會有Set-Cookie設置。
Set-Cookie值中的HttpOnly 設置表示 只有後臺服務器能夠讀取JSESSIONID,前端JS無法讀取到JSESSIONID 防止XSS攻擊。
Cookie的解析工作是tomcat來乾的,Set-Cookie操作也是tomcat完成的工作,我們無法控制,我們能干預的位置就是session的創建和設置能容,cookie的內容設置,其他解析和組裝工作由tomcat來完成。