jsessionid는 새 세션이 만들어지면
클라이언트가 쿠키를 지원하는지 여부를 서버가 알 수 없으므로,
쿠키와 URL에 모두 jsessionid를 만들어 주는 것을 의미하며
url에 붙이거나 헤더에 붙여서 나오게 된다.
클라이언트가 두 번째 요청부터 세션 쿠키를 보내오면
URL에 jsessionid를 붙이지 않고,
쿠키가 없으면 계속 URL에 jsessionid를 붙이게 된다.
그런데 문제는, jsessionid를 탈취당하면 사용자 ID, 비밀번호를 몰라도 접근이 가능하게 된다.
그래서 웹 보안취약점 점검에서는 jsessionid를 꼭 제거하게 되어있다.
application.properties 에 추가
server.servlet.session.tracking-modes=cookie