Strutsのや、などのタグを使うと、そのページへの初回アクセス時に、タグで生成されたURLに";jsessionid=xxx"が勝手に付加されてしまうことがあります。これは"URL Rewriting"というもので、クッキーが使えないブラウザのための機能なのですが、ちょっとまずいですね。HTTP-Reffererにより、セッションIDが他のサーバーに漏洩してしまいますよ。

で、OFFにしようと色々探してみました。結論：OFFにできません。仕様です（涙）。本家struts-userメーリングリストのこのメッセージから始まるツリーにそれらしきことが書いてあります。

とりあえず、Apacheのmod_rewriteモジュールで何とかなりそうなので挑戦中です。やれやれ、またApache2のコンパイルやり直しか。