我看到请求头中的JSESSIONID和HTTP请求的响应头是不同的。这是常见情况还是例外?
这是正常的,但我不会说常见。这取决于您在请求/响应交换期间正在做什么。
在登录/注销时使任何现有会话无效是一种常见的技术。
使用会话无效使现有会话无效是很常见的。
使用 HttpServletRequest。登录更改期间changeSessionId()也很常见,安全专家也推荐了一种技术。
但是,这些都不会在所有请求中发生,并且不应该成为大多数请求的常态。
简而言之,对于某些类型的请求(凭据更改、登录、身份验证、授权等(是正常/常见的,但对于其他类型的请求,这种情况很少见。