一个常见的错误是以为 session 在有客户端访问时就被创建，然而事实是直到某 server 端程序(如 Servlet )调用HttpServletRequest.getSession(true)这样的语句时才会被创建。
*************************************************************************************

我一开始还不信，做个试验我信了。

一开始不信是因为，用 FireFox 测试清空了Cookie ，只要一跑一个jsp ，马上会看到生成了一个名字是 JSESSIONID 的Cookie ，注意这个是  Session Cookie （会话Cookie），不是 Persistent Cookie （持久Cookie），这个《Cookie和Session专题 》一文中讲的很明白，会话 Cookie 是为实现 session 机制而采用的在 Client 端与 Server 端之间保持状态的解决方案之一，在默认情况下是保存在 Client 端内存中的。注意：会话 Cookie 的“会话”这里不是指 Server 端的 Session ，而是指的是浏览器，所以会话 Cookie 的生命周期不是与 Server 端的 Session 那个会话相同，而是与浏览器相同，就是说只要开着浏览器会话 Cookie 就存在，关闭浏览器它就过期了。但是会话 Cookie 的值是与 Server 端的 SessionId 对应相同的。就是说会话Cookie随着Server端Session的创建而创建，但并不随着Session的过期而过期，而是随着Client端的浏览器关闭而销毁。 这说明只要会话Cookie 出现了，Server 端的 Session 就已经创建了。

我一开始的错误想法是：我的 jsp 里没有 HttpServletRequest.getSession(true) 的代码阿，但是 JSESSIONID 的Cookie 出现了就说明 Server 端 Session 创建了，这与《Cookie和Session专题 》上面讲的不符啊，不过马上想通了，jsp 属于动态页，本质就是一个 Servlet ，编译后的 jsp 是要到 Server 端进行交互的（即便 jsp 里没写一句交互的代码），因为 jsp 里有内置对象，内置对象就是和 Server 交互的产物，所以如果你的首页是个 jsp 页的话，即便没有HttpServletRequest.getSession(true)，Session 也会创建。

如果首页是*.html 就不同了，再将 FireFox 的 Cookie 都清除了，将首页设置为 index.html, 回车，查看，果然这次没有JSESSIONID 的 Cookie 生成，这说明Server的Session也没有创建，让 index.html 提交到一个Servlet, 确实可以证明没有 HttpServletRequest.getSession(true) ，Sesion是不会创建的， 即便Servlet又转发（或者重定向）到第二个页，只要第二个页依然不是jsp页，Session就依然不会创建，FireFox 当然也没有名字为 JSESSIONID 的 Cookie 生成。

　　 另外对jsp页面为什么会自动生成session，是因为jsp在默认的情况下session的属性设置的为true，如果设置为

，但是不显示的使用HttpServletRequest.getSession(true)的话session就不会创建了。