参考资料:
http://sizhefang.iteye.com/blog/25294
http://blog.csdn.net/cxzhq2002/article/details/750148
http://hi.baidu.com/i_love_xl/item/2b7a69175bc94f08d1d66ded
http://apps.hi.baidu.com/share/detail/1027432
http://www.cnblogs.com/chenying99/archive/2012/05/17/2505654.html
http://wenku.baidu.com/view/ea504514866fb84ae45c8d2c.html
http://blog.csdn.net/hyhyct/article/details/7300146
http://www.cnblogs.com/qqnnhhbb/archive/2007/09/08/886487.html
http://www.iteye.com/topic/667513
个人总结:
(1)用response.encodeURL(),把jsessionid传到客户端,只有当浏览器禁用cookie时才生效; 禁用cookie后很多网站都无法登陆。
(2)服务器生成的jsessionid不容易伪造,自己在url后加jessionid,比如 <form action="login_process.jsp;jsessionid=123456" method="post">,提交后服务器不认这个jsessionid,又重新生成一个session;
(3)同一ip不同端口的应用,浏览器共享cookie。网上说“先访问A,再访问B的时候,B的sessionid会覆盖A的sessionid”。
