Hitachi

Cosminexus V11 アプリケーションサーバ 機能解説 互換編


6.13.1 有効なHTTPメソッドの制限

インプロセスHTTPサーバでは,HTTPリクエストで有効なHTTPメソッドを制限することによって,無効なHTTPメソッドを含むリクエストの受け付けを拒否します。これによって,サーバ上のリソースへの不正アクセスを防止できます。デフォルトでは,DELETEメソッド,HEADメソッド,GETメソッド,OPTIONSメソッド,POSTメソッド,およびPUTメソッドの使用を許可しています。

HTTPメソッドを制限するには,有効なHTTPメソッドのメソッド名を設定します。有効なHTTPメソッドとして設定する値は,RFC2616に規定されている値を使用する必要があります。ただし,メソッド名の文字列にアスタリスク(*)は使用できません。メソッド名の代わりにアスタリスク(*)を指定すると,すべてのメソッドの使用を許可する設定になります。

無効なHTTPメソッドを含むリクエストを受信した場合,Webクライアントに対してステータスコード405のエラーを返します。

なお,静的コンテンツに対してOPTIONSメソッドを含むリクエストを送信した場合,レスポンスに含まれるAllowヘッダには静的コンテンツに対してデフォルトで有効なメソッド(GETメソッド,POSTメソッド,TRACEメソッド,およびOPTIONSメソッド)から,インプロセスHTTPサーバで無効なメソッドを除いたメソッドが返されます。サーブレット/JSPの場合,Webアプリケーションの実装に依存します。