• ServletOutputStreamクラスのprint(char c)メソッドの引数には，0x00〜0xFFの範囲で指定してください。範囲外の値を指定するとjava.io.CharConversionExceptionが発生します。
• ServletInputStreamクラスでは，markメソッドおよびresetメソッドをサポートしていません。また，markSupportedメソッドは常にfalseを返します。
• ServletInputStreamクラスからデータを読み出したあとに転送（forward）した場合，転送先のServletInputStreamクラスから読み出されるデータは，転送する前に読み出された位置からのものとなります。また，転送する前にServletInputStreamクラスからすべてのデータを読み出した場合，転送先のリクエストパラメタは空となります。

ServletResponseクラスのsetLocaleメソッドにLocale.JAPANESEを指定した場合，Content-TypeヘッダのcharsetはShift_JIS（シフトJIS）になります。

HttpServletRequestクラスのgetRequestURIメソッドでは，最適化されたURIが返されます。例えば，「xxx//yyy/zzz」は「xxx/yyy/zzz」に，「xxx/yyy/../zzz」は「xxx/zzz」のように変換されます。

WebサーバでPOSTデータの読み込みに失敗した場合，Webコンテナで動作するサーブレットでは，ServletRequestクラスの次に示すメソッドの呼び出し時にIllegalStateException例外が発生します。

• getParameterメソッド
• getParameterNamesメソッド
• getParameterValuesメソッド
• getParameterMapメソッド

また，Content-Typeがmultipart/form-dataのフォームデータを受信した場合は，上記のメソッドまたはHttpServletRequestクラスの次に示すメソッドの呼び出し時に，KDJE39336-E のメッセージの出力を伴うIllegalStateException例外が発生することがあります。この場合，受信したフォームデータのサイズが適切かどうかを確認し，適切なサイズのときはwebserver.connector.limit.max_post_form_dataの設定値を見直してください。

• getPartメソッド
• getPartsメソッド

ServletContextAttributeListenerインタフェース，HttpSessionAttributeListenerインタフェース，およびServletRequestAttributeListenerでは，Webコンテナが内部で使用している属性の追加，削除，更新があった場合にもイベントが通知される場合があります。通知されたイベントの属性名を参照して，Webアプリケーションで使用している属性名以外の場合には無視するようにしてください。

• ServletContextインタフェースのgetResourcePathsメソッドによって得られるjava.util.Setは参照用です。このjava.util.Setに対し，要素の追加，削除の操作をしないでください。add，addAll，clear，remove，およびremoveAllメソッドを使用するとIllegalStateException例外が発生する場合があります。
• ServletContextインタフェースのgetContextメソッドの引数には，存在するコンテキストルート名を使用したURLを指定してください。存在しないコンテキストルート名を使用したURLを指定した場合の動作は保証されません。
• ServletContextインタフェースのgetResourceメソッドおよびgetResourceAsStreamメソッドには，該当Webアプリケーションに含まれるリソースを指定してください。該当Webアプリケーション外のリソースを指定した場合の動作は保証されません。

Webアプリケーションに含まれるディレクトリにアクセスするときは，クエリ文字列およびPOSTデータがリダイレクト先リソースで取得できないことがあるため，クエリ文字列およびPOSTデータは付けないようにしてください。

ServletRequestインタフェースのgetRemoteHostメソッドは，リクエストを送信したクライアントのホスト名を返しますが，Webサーバがホスト名を解決できないか，解決しないように設定されている場合はIPアドレスを返します。

既定の設定ではWebサーバの設定がされていないため，IPアドレスを返します。ホスト名を取得する場合は，Webサーバの設定を変更する必要があります。ただし，設定を変更すると，ホスト名の解決のため，レスポンスが遅くなる場合があります。Webサーバの設定の変更方法については，マニュアル「HTTP Server」を参照してください。

1プロセス内で複数回実行してはならない処理をサーブレット中に記述する場合，サーブレットの実行とその処理が同期することがないようにしてください。特に，OTMとの通信を開始するための初期化処理の中には，インスタンスを削除しても終了しない常駐スレッドを生成するものがあります。例えば，TPBrokerの初期化関数であるORB.initメソッドは，呼び出されるたびにGC実行のための監視用常駐スレッドを生成し，このスレッドはプロセス終了まで消えません。そのため，1プロセス内でORB.initメソッドを必要以上に実行すると，不要なGC処理が増え，システム全体の性能が著しく低下するなどの悪影響があります。

このような事態を避けるため，プロセス中で1回だけ実行させたい処理をサーブレットに記述する場合には，その処理がプロセス中で実行済みかどうかをあらかじめ判定する必要があります。具体的には，ある処理が実行済みかどうかの状態を格納する条件フラグとしてstatic変数を任意のクラス中で用意します。static変数の値が「未実行」を意味するものである場合にだけ処理を実行し，値を「実行済み」を意味するものに変更することで，その処理の実行回数をプロセス中で1回だけに限定できます。ただし，次の2点に注意してください。

• 任意のクラスでstatic変数を使用する場合は，usrconf.propertiesまたはhitachi_web.propertiesに次の設定をしないでください。
  ・webserver.context.reloadable=true
  ・webserver.jsp.recompilable=true
  設定した場合，そのクラスのインスタンスが自動的に破棄されて，再生成されることがあるため，それに伴ってstatic変数の値も初期化されてしまうことがあります。usrconf.propertiesとhitachi_web.propertiesの設定については，マニュアル「アプリケーションサーバ リファレンス 定義編(サーバ定義)」を参照してください。
  
• あるスレッドが条件フラグであるstatic変数の値を参照してから値を変更するまでの間に，ほかのスレッドが同様の処理を実行することがないよう，この処理を実行するメソッドにsynchronizedキーワードを指定してください。この方法を用いてTPBrokerの初期化関数ORB.initメソッドが1回だけ呼び出されるようにするためのコーディング例を次に示します。
  

  static org.omg.CORBA.ORB _orb=null; public static synchronized org.omg.CORBA.ORB getORB(String[] args, Properties props){ if(_orb==null){ _orb=org.omg.CORBA.ORB.init(args,props); } return _orb; }

Webコンテナにゲートウェイ情報を通知し，welcomeファイルやFORM認証画面に正しくリダイレクトするゲートウェイ指定機能を使用できます。ゲートウェイ指定機能については，「4.10　Webコンテナへのゲートウェイ情報の通知」を参照してください。

ゲートウェイ指定機能を使用する場合，一部のサーブレットAPIの動作が変わります。ゲートウェイ指定機能使用時のサーブレットAPIの注意事項を，使用するメソッドごとに示します。

• javax.servlet.http.HttpServletResponseクラスのsendRedirectメソッド
  引数に相対URLを指定し，Hostヘッダのないリクエストの場合，リダイレクト先URLのホスト名とポート番号は，ゲートウェイ指定機能で指定した値となります。引数に相対URLを指定し，ゲートウェイ指定機能でスキームをhttpsと見なすように設定した場合，リダイレクト先URLのスキームは常に「https」となります。
  
• javax.servlet.ServletRequestインタフェースのgetRequestURLメソッド
  ゲートウェイ指定機能でスキームをhttpsと見なすように設定した場合，戻り値は常に「https://」で始まるURLとなります。
  
• javax.servlet.ServletRequestインタフェースのgetServerNameメソッド
  ゲートウェイ指定機能でリダイレクト先URLのホスト名を指定し，リクエストにHostヘッダがない場合，戻り値は指定した値となります。
  
• javax.servlet.ServletRequestインタフェースのgetServerPortメソッド
  ゲートウェイ指定機能でリダイレクト先URLのポート番号を指定し，リクエストにHostヘッダがない場合，戻り値は指定した値となります。ゲートウェイ指定機能でリダイレクト先URLのホスト名を指定し，ポート番号を省略した場合，戻り値はリクエストのスキームがhttpであれば「80」，httpsであれば「443」となります。
  
• javax.servlet.ServletRequestインタフェースのgetSchemeメソッド
  ゲートウェイ指定機能でスキームをhttpsと見なすように設定した場合，戻り値は常に「https」となります。
  
• javax.servlet.ServletRequestインタフェースのisSecureメソッド
  ゲートウェイ指定機能でスキームをhttpsと見なすように設定した場合，戻り値は常に「true」となります。
  
• javax.servlet.ServletRequestインタフェースのgetAttributeメソッド
  ゲートウェイ指定機能でスキームをhttpsと見なすように設定した場合でも，次の属性は取得できません。
  
  • javax.servlet.request.cipher_suite（WebサーバにMicrosoft IISを使用している場合は，ゲートウェイ指定機能の使用に関係なく取得できません）
  • javax.servlet.request.key_size
  • javax.servlet.request.X509Certificate

SSLアクセラレータや負荷分散器などのゲートウェイを使用した場合，次のサーブレットAPIの戻り値はクライアントのIPアドレスやホスト名ではなく，ゲートウェイのIPアドレスやホスト名になります。

• javax.servlet.ServletRequestクラスのgetRemoteAddrメソッド
• javax.servlet.ServletRequestクラスのgetRemoteHostメソッド

Webコンテナは，Webアプリケーションの制御に必要な情報をjavax.servlet.ServletContextオブジェクトの属性に登録しています。WebアプリケーションでServletContextインタフェースのgetAttributeNamesメソッドによって取得する属性名には，Webコンテナによって登録された属性の名称も含まれます。

Webアプリケーション内でServletContextオブジェクトに属性を登録する時，次の文字列で開始するキー名称を使用しないでください。

• org.apache.catalina
• com.hitachi.software.web
• jspx

また，ServletContextにはJava EEの仕様で定められた属性も追加されるため，これらと同じキー名称の属性を登録しないでください。

次に示すjavax.servlet.ServletRequestクラスのメソッドは，リクエストを送信したクライアント，または最後に通ったプロキシの情報を取得するためのメソッドですが，リバースプロキシを使用した環境では，取得する情報がリバースプロキシの情報となります。

• getRemoteAddrメソッド
• getRemoteHostメソッド
• getRemotePortメソッド

javax.servlet.ServletResponseインタフェースのgetWriterメソッドを実行したあとに，resetメソッドを実行した場合，HTTPレスポンスのContent-Typeで指定する文字エンコーディングは，次に示すAPIのどれか（すべてjavax.servlet.ServletResponseインタフェース）を使用して，再度同じ文字エンコーディングを指定してください。

• setContentTypeメソッド
• setLocaleメソッド
• setCharacterEncodingメソッド^※

注※

Servlet 2.4仕様で追加されたメソッドです。

Servlet 2.4仕様以降では，これらのAPIを使用して文字エンコーディングを設定する場合は，getWriterメソッドを実行する前に呼び出す必要があります。ただし，getWriterメソッドを実行したあとにresetメソッドを実行した場合にかぎり，再度getWriterメソッドを呼び出すまではこれらのAPIで文字エンコーディングを設定できます。

javax.servlet.http.HttpSessionインタフェースのsetMaxInactiveIntervalメソッドの引数に0を指定した場合，セッションがタイムアウトになることはありません。

インプロセスHTTPサーバ機能を使用している場合に，javax.servlet.ServletRequestのgetReaderメソッドで得られるjava.io.BufferedReaderは，mark操作をサポートしていません。markSupportedメソッドではfalseが返されます。

javax.servlet.http.CookieのsetVersionメソッドの引数に1を指定した場合，Webサーバ連携機能使用時には，レスポンスにSet-Cookie2ヘッダが付加されますが，インプロセスHTTPサーバ機能使用時にはSet-Cookieヘッダが付加されます。

javax.servlet.ServletRequestのgetRequestDispatcherメソッドの引数に「/」ではじまらない相対パスを指定した場合，このサーブレットのサーブレットマッピングに指定したURLパターンからの相対パスになります。URLパターンが「/」で終わっている場合は，親のディレクトリからの相対パスになります。

例えば，サーブレットマッピングを"/a/b/"に指定したサーブレットから，"hello.html"を指定してgetRequestDispatcherメソッドを実行すると，"/a/hello.html"が得られます。

レスポンス送信時に使用されるサーブレットのバッファは，リクエスト処理スレッドごとに保持されます。javax.servlet.ServletResponseのsetBufferSizeメソッドを実行してバッファサイズを変更した場合，変更したバッファサイズは，同一J2EEサーバ上のほかのWebアプリケーションを含め，該当するスレッドが処理するすべてのリクエストに適用されます。javax.servlet.ServletResponseのsetBufferSizeメソッドを使用してバッファサイズを変更する場合は，（バッファサイズ）×（リクエスト処理スレッド数）分のメモリが確保されることを考慮した上で，メモリ使用量を見積もってください。

なお，一度確保されたバッファは，処理スレッドごとにWebアプリケーションからsetBufferSizeメソッドで更新されるまで有効となります。

サーブレットでは，javax.servlet.ServletResponseクラスのsetContentTypeメソッドで明示的にContent-Typeを設定していない場合，Content-Typeヘッダを作成しません。そのため，HTTPレスポンスの文字エンコーディングをContent-Typeヘッダの”charset=”フィールドから確認することはできません。

Servlet 2.4仕様以前に準拠したWebアプリケーションで，無効化されたjavax.servlet.http.HttpSessionオブジェクトのgetIdメソッドを呼び出した場合の動作がServlet仕様とアプリケーションサーバとで異なります。それぞれの動作を次に示します。

Servlet仕様

java.lang.IllegalStateException例外をスローする。

アプリケーションサーバ

nullを返す。

次の表に示すメソッドで取得した情報をレスポンスに出力する場合は，サニタイズする必要があります。

表6-13　取得した情報をサニタイズする必要があるメソッド

クラス名	メソッド名
javax.servlet.ServletRequest	getCharacterEncoding()
	getContentType()
	getInputStream()
	getParameter(java.lang.String name)
	getParameterMap()
	getParameterNames()
	getParameterValues(java.lang.String name)
	getProtocol()
	getReader()
	getServerName()
javax.servlet.http.HttpServletRequest	getCookies()
	getHeader(java.lang.String name)
	getHeaderNames()
	getHeaders(java.lang.String name)
	getMethod()
	getPathInfo()
	getPathTranslated()
	getQueryString()
	getRequestedSessionId()
	getRequestURI()
	getRequestURL()
	getServletPath()

javax.servlet.ServletRequestクラスのgetLocaleメソッド，またはgetLocalesメソッドで取得できるjava.util.Localeオブジェクトは，HTTPリクエストのAccept-Languageヘッダの値から作成します。

Webコンテナでは，Accept-Languageヘッダの値のロケール（ISO言語コード，ISO国コード，またはバリアント）が英字以外を含むかどうかをチェックします。ロケールが英字以外を含む場合は，不正なロケールと判断して，不正なロケールごとにKDJE39546-Wのメッセージをメッセージログに出力して無視します。

不正なロケールを含むAccept-Languageヘッダを受信した場合は，getLocaleメソッド，またはgetLocalesメソッドは正しいロケールのjava.util.Localeオブジェクトだけを返します。Accept-Languageヘッダに指定されたロケールがすべて不正な場合は，Accept-Languageヘッダがないと見なしてサーバのデフォルトロケールを返します。

javax.servlet.http.HttpServletRequestインタフェースのgetServerNameメソッドの戻り値は，HTTP ServerやリバースプロキシなどでHostヘッダを書き換えた場合，HTTPクライアントが設定したHostヘッダの値と異なることがあります。

Servlet 2.4以前では，include先のサーブレットでのレスポンスヘッダの設定はすべて無視される仕様です。ただし，アプリケーションサーバでは，Servlet 2.4を使用した場合でも，getSessionでのレスポンスヘッダの設定は有効になります。

MIMEマッピングがない静的コンテンツの場合，Content-Typeは付与されません。

セッションIDの付加されたリクエストがWebコンテナに送信されたとき，HTTPセッションのアクセス時刻は現在時刻で更新されます。ただし，すでにセッションがタイムアウトしたり，無効化したりしている場合には該当しません。

HTTPセッションのアクセス時刻は次で使用されます。

• javax.servlet.http.HttpSessionインタフェースのgetLastAccessedTime()メソッドの戻り値
  javax.servlet.http.HttpSessionインタフェースのgetLastAccessedTime()メソッドは，前回更新時のHTTPセッションのアクセス時刻を返します。
  
• HTTPセッションのタイムアウト
  現在時刻とHTTPセッションのアクセス時刻の差がタイムアウト時間を超えたとき，HTTPセッションはタイムアウトします。なお，HTTPセッションのタイムアウト監視は30秒間隔で実行されるため，正確なタイムアウト時間にタイムアウトが発生するわけではありません。
  

HTTPリクエストにContent-Lengthヘッダが含まれていない場合，javax.servlet.ServletRequestのgetContentLength()メソッドの戻り値，およびjavax.servlet.http.HttpServletRequestのgetIntHeader()メソッドで引数に"Content-Length"を指定した場合の戻り値がServlet仕様とアプリケーションサーバとで異なります。それぞれの戻り値を次に示します。

Servlet仕様

-1を返す。

アプリケーションサーバ

0を返す。