Cosminexus V9 アプリケーションサーバ 機能解説 基本・開発編(Webコンテナ)

[目次][用語][索引][前へ][次へ]

2.7.4 Webクライアントが保持する無効なセッションIDの削除

アプリケーションサーバでは,Webクライアントが保持する無効なセッションIDを削除します。これによって,無効なセッションIDのWebクライアントからの送信を抑止します。

HTTPセッションを無効化した場合,または無効なセッションIDを含むHTTPセッションを受信した場合,Webコンテナによって,無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP CookieがHTTPレスポンスのヘッダに付加されます。これによって,無効なセッションIDが削除されます。

無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP Cookieとは,次のすべての条件を満たすHTTP Cookieを指します。

HTTPレスポンスのヘッダに,無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP Cookieが付加されるのは,次の二つの場合です。

以降でそれぞれの場合について説明します。

Webサーバ連携機能を使用する場合の注意事項
レスポンスのステータスコードが304(Not Modified)である場合に,Webサーバの仕様でSet-Cookieヘッダが削除されるときがあります。このとき,無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP Cookieも付加されなくなるため,Webクライアントが保持する無効なセッションIDの削除ができなくなります。
<この項の構成>
(1) HTTPセッションが無効化された場合
(2) J2EEサーバに存在しないセッションIDを受信した場合
(3) Webクライアントが保持する無効なセッションIDの削除をする場合の注意事項

(1) HTTPセッションが無効化された場合

次の条件をすべて満たす場合,無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP CookieがHTTPレスポンスのヘッダに付加されます。

なお,次の条件のどちらかを満たす場合,HTTPセッションが無効化された場合でも,無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP Cookieは付加されません。

これらの機能は旧バージョンとの互換用の機能です。

(2) J2EEサーバに存在しないセッションIDを受信した場合

次の条件をすべて満たす場合,無効なセッションIDを受信したと判断され,無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP CookieがHTTPレスポンスのヘッダに付加されます。

(3) Webクライアントが保持する無効なセッションIDの削除をする場合の注意事項

複数のJ2EEサーバで同じパスのリクエストを扱う構成の場合,この機能を無効にしてください。

リバースプロキシなどでCookieのPathが書き換えられた同じパスのリクエストを扱うと,HTTPセッションが不当に削除されるおそれがあります。