Strutsなどのタグを使うと、そのページへの初回アクセス時に、タグで生成されたURLに";jsessionid=xxx"が勝手に付加されてしまうことがあります。これは"URL Rewriting"というもので、クッキーが使えないブラウザのための機能なのですが、ちょっとまずいですね。HTTP-Reffererにより、セッションIDが他のサーバーに漏洩してしまいますよ。

で、OFFにしようと色々探してみました。結論:OFFにできません。仕様です(涙)。本家struts-userメーリングリストのこのメッセージから始まるツリーにそれらしきことが書いてあります。

とりあえず、Apachemod_rewriteモジュールで何とかなりそうなので挑戦中です。やれやれ、またApache2のコンパイルやり直しか。