Noto que la primera vez que un usuario visita mi sitio, las URL generadas por Wicket contienen unjsessionid, en lugar de confiar en la cookie para obtener información de la sesión.

a cookie se configura correctamente y, si el usuario simplemente vuelve a cargar la página, lajsessionid ya no se agrega a las URL. Puedes probar esto aquí: pixlshare.com. Al pasar el mouse sobre cualquiera de los enlaces de imágenes, se mostrará una URL con unajsessionid; vuelva a cargar la página y lajsessionids será eliminado.

De experiencia previa con elWicket página SEO Sé cómo eliminar lajsessionid para ocultarlo de los bots, pero emplear esta técnica para usuarios habituales parece un truco. También romperá el sitio para aquellas personas lo suficientemente paranoicas como para deshabilitar las cookies.

Esto está sucediendo después de un traslado reciente a Tomcat desde Glassfish, aunque no puedo decir con certeza que esa sea la causa. Además, estoy usando mod_proxy de Apache frente a Tomcat.