问题的复盘

首先这个问题出现的时机是，当用户访问特定的连接（如http://localhost/index）时没有权限，被重定向到登录页面http://localhost/login。为了登录成功后再跳转到目标访问的页面http://localhost/index，Spring Security会在Cookie中存一个信息，标记一为一个jsessionid。重定向时Servlet容器，也就是tomcat之类的会把jsessionid编码到重定向url，也就是http://localhost/login;jsessionid=xxxxxxxxxx。这种请求会被Spring Security的StrictHttpFirewall拦截，引发进而The request was rejected because the URL contained a potentially malicious String ";"错误。

安全策略

OWASP指出在URL中暴露jsessionid是非常危险的举动，可能导致会话固定攻击，因此不建议上述的行为。

解决方案

目前有两种解决方案。

允许url携带jsessionid

这种在网上很多，如果浏览器的cookie被禁用或者你的应用可以容忍上述安全漏洞你可以在Spring Security中采取这种方式：

httpSecurity
  .sessionManagement()
    .enableSessionUrlRewriting(true);

这种不建议使用。

修改servlet容器的会话机制

在 Spring Boot 中配置 Tomcat 的跟踪模式：

server.servlet.session.tracking-modes=cookie

最后

深知大多数初中级Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则近万的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《Java开发全套学习资料》送给大家，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

小编已加密：aHR0cHM6Ly9kb2NzLnFxLmNvbS9kb2MvRFVrVm9aSGxQZUVsTlkwUnc==出于安全原因，我们把网站通过base64编码了，大家可以通过base64解码把网址获取下来。