在排查的过程中发现三个验证码在存到session中前，session都是新生的，怀疑可能的问题是session的线程安全问题，也通过同步方法取session，但不能解决该问题。后来百度到一篇帖子，开始怀疑浏览器没有把sessionid发给服务器，经过验证发现确实如此

从图上来看，由于部分浏览器的处理差异，导致第一张验证码返回图片并且回写sessionid之前第二三张验证码的请求都已经发出去了 所以第二三张验证码均存在新分配的session里面，这才会导致第一张验证码的第一次验证失败，而手动刷新后就没问题了（手动刷新带上了新的sessionid）

如何解决？

既然浏览器反应太快，同时发起了三个验证码请求，那就手动延后请求，将验证码用jQuery延迟加载即可带上回写的sessionid到服务器，至此问题解决。