Cookieによるセッション管理をしている環境があります。この環境で、外部ベンダのセキュリティ診断を受けた結果、以下の指摘を受けました。
「セッションIDがURL引数に含まれる場合があり、セッションIDが漏えいする危険性が高まります。Cookieによるセッション管理のみを想定されている場合には、URLRewriting機能を無効としてください」
URLRewriting機能を無効にする方法はありますでしょうか。

URLRewritingはユーザアプリケーション内に実装したコード（encodeURL()）により、URLの引数にセッションIDを含める処理が行われます。 WebOTX V6.5以前は、URLRewritingを無効にする機能はありません。Webアプリケーション内で行っているHttpServletResponse#encodeURL() の処理をはずすことで、URLrewritingの処理を行わないようにできます。
　WebOTX V7.1以降(標準修正7.11.08を適用してください)は、次の強化により、強制的にURLRewriting機能を無効にする設定ができます。

- HttpServletResponse.encodeURL()を実行しても、URLRewriting(セッションIDの付加)を行わない設定を追加。

(参考) URLRewritingを使用しない場合のnec-web.xmlへの記述
<session-config>
<session-properties>
<property name="enableURLRewriting" value="false" />

【対象製品】Application Server
【確認済みのバージョン】全て
【確認済みのエディション】すべて
【確認済みの対象OS】すべて
【確認済みのJavaバージョン】すべて
【コンポーネント】Webコンテナ
【カテゴリー】運用/設定