но мы удалили jsessionid из URL-адреса, который осуществлял управление сеансами на основе файлов cookie, чтобы предотвратить «атаку перехвата сессии».

Но мы обнаружили, что URL первого запроса всегда имеет jsessionid, когда куки включены, а URL следующего запроса НЕТ jsessionid.

используя jsessionid из первого URL, мы можем напрямую переходить на другие страницы рабочего процесса

Вопрос: существует ли какая-либо уязвимость в безопасности, раскрывающая jsessionid только при первом запросе?

Существует решение для удаления jsessionid из первого запроса, но он хотел проверить, действительно ли он уязвим для выполнения изменений

спасибо J

РЕДАКТИРОВАТЬ: я получил мои сомнения прояснилось. Спасибо за ответы.