spring security的默认行为是在url中使用分号拒绝请求，因为这是执行反射文件下载攻击的常见方式。这个 JSESSIONID 不应该在路径中，因为它可能导致泄漏，相反，您可以使用cookies。
stricthttpfirewall的spring安全文档解释了这种行为。
确定url中是否允许使用分号（即矩阵变量）。默认设置是禁用此行为，因为这是尝试执行反射文件下载攻击的常见方式。它也是许多绕过基于url的安全性的漏洞的来源。
如果您希望允许分号，请重新考虑，因为它是一种非常常见的安全绕过源。下面列出了用户需要分号和可选分号的几个常见原因：
在路径中包含jsessionid-您不应该在url中包含会话id（或任何敏感信息），因为这可能导致泄漏。取而代之的是使用cookies。矩阵变量-想要利用矩阵变量的用户应该考虑使用HTTP参数。
请注意，您仍然可以通过使用自定义的示例禁用此行为 StrictHttpFirewall 但请重新考虑，因为这是一个非常常见的安全旁路来源。

@Bean
public HttpFirewall allowSemicolonHttpFirewall() {
    StrictHttpFirewall firewall = new StrictHttpFirewall();
    firewall.setAllowSemicolon(true);
    return firewall;
}

@Override
public void configure(WebSecurity web) throws Exception {
  super.configure(web);
  web.httpFirewall(allowSemicolonHttpFirewall());
}