发生的情况如下:客户端第一次请求页面,根本不发送 cookie:
$ curl -v http://pixlshare.com/upload
服务器不知道基于此请求的客户端功能的任何信息,特别是它是否支持 cookie。因此,为了更加安全,它发送both饼干和JSESSIONID
在 URL 中编码:
< Set-Cookie: JSESSIONID=25E7A6C27095CA1F560BCB2983BED17C; Path=/; HttpOnly
...
<a wicket:id="image1Link" href="gallery/OKfzVk;jsessionid=25E7A6C27095CA1F560BCB2983BED17C">
换句话说,servlet 容器防御性地追加JSESSIONID
到每个 URL,以防客户端不支持 cookie。
那么为什么JSESSIONID
第二次请求时消失?因为现在客户端在 HTTP 请求中发送 cookie,并且服务器知道客户端会处理它们。话虽如此,JSESSIONID
不再需要。
$ curl -v -b JSESSIONID=25E7A6C27095CA1F560BCB2983BED17C http://pixlshare.com/upload
> Cookie: JSESSIONID=25E7A6C27095CA1F560BCB2983BED17C
...
<a wicket:id="image1Link" href="gallery/OKfzVk">
另一方面,如果客户端不支持cookie,服务器将继续重写URL。
这不是 Wicket 问题,而是 Tomcat 功能。
顺便说一句(来自您网站的 JavaScript):
path = path.replace(/^C:\\fakepath\\/i, '');
什么假的...?