この節では,グローバルセッションの制御方法が混在する場合のシステム構成について説明します。なお,グローバルセッションの制御方法が混在しない場合のシステム構成については,マニュアル「Cosminexus システム設計ガイド」の次の説明を参照してください。
- SFOサーバを使用したセッション情報の引き継ぎを検討する場合のシステム構成
グローバルセッションの制御方法が混在するシステムでは,Webアプリケーションを制御方法ごとに分けるかどうかによって,システム構成および設定内容が異なります。
- 注意
- URL書き換えによってセッションを制御する方法には,セッションハイジャックなどの脆弱性があるといわれています。URL書き換えを使用する場合,脆弱性への対策は,それぞれのシステムで確実に実施するようにしてください。
- 対策としては,次のようなものが考えられます。
- HTTP Cookieを使用するWebアプリケーションでは,URL書き換えを抑止して,セッションIDをURLに付加しないようにする。
- URL書き換えを実行するWebアプリケーションでは,HTTP CookieをサポートしているWebクライアントからのリクエストは処理しない。
- なお,この節の説明は,URL書き換えでセッションを制御する場合の脆弱性について理解し,適切な対応をしていることを前提にした上で,次のシステム構成について説明しています。
- HTTP Cookieを使用するWebアプリケーションと,URL書き換えを使用するWebアプリケーションを,それぞれ専用のWebアプリケーションとして使用する場合のシステム構成
- HTTP Cookieを使用するWebアプリケーションと,URL書き換えを使用するWebアプリケーションを,専用のWebアプリケーションにはしないで,両方の制御方法で使用する場合のシステム構成
- <この節の構成>
- 12.5.1 制御方法ごとにWebアプリケーションを分ける場合
- 12.5.2 制御方法ごとにWebアプリケーションを分けない場合
All Rights Reserved. Copyright (C) 2006, 2007, Hitachi, Ltd.
![[目次]](FIGURE/CONTENT.GIF)
![[用語]](FIGURE/GLOSS.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)