Hitachi

Cosminexus V11 アプリケーションサーバ 機能解説 基本・開発編(Webコンテナ)


2.7.4 Webクライアントが保持する無効なセッションIDの削除

アプリケーションサーバでは,Webクライアントが保持する無効なセッションIDを削除します。これによって,無効なセッションIDのWebクライアントからの送信を抑止します。なお,この機能はV9互換モードの場合だけ使用できます。

HTTPセッションを無効化した場合,または無効なセッションIDを含むHTTPセッションを受信した場合,Webコンテナによって,無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP CookieがHTTPレスポンスのヘッダに付加されます。これによって,無効なセッションIDが削除されます。

無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP Cookieとは,次のすべての条件を満たすHTTP Cookieを指します。

HTTPレスポンスのヘッダに,無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP Cookieが付加されるのは,次の二つの場合です。

以降でそれぞれの場合について説明します。

Webサーバ連携機能を使用する場合の注意事項

レスポンスのステータスコードが304(Not Modified)である場合に,Webサーバの仕様でSet-Cookieヘッダが削除されるときがあります。このとき,無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP Cookieも付加されなくなるため,Webクライアントが保持する無効なセッションIDの削除ができなくなります。

〈この項の構成〉

(1) HTTPセッションが無効化された場合

次の条件をすべて満たす場合,無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP CookieがHTTPレスポンスのヘッダに付加されます。

なお,次の条件のどちらかを満たす場合,HTTPセッションが無効化された場合でも,無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP Cookieは付加されません。

これらの機能は旧バージョンとの互換用の機能です。

(2) J2EEサーバに存在しないセッションIDを受信した場合

次の条件をすべて満たす場合,無効なセッションIDを受信したと判断され,無効なセッションIDを表すHTTP Cookie情報を削除するためのHTTP CookieがHTTPレスポンスのヘッダに付加されます。

(3) Webクライアントが保持する無効なセッションIDの削除をする場合の注意事項

複数のJ2EEサーバで同じパスのリクエストを扱う構成の場合,この機能を無効にしてください。

リバースプロキシなどでCookieのPathが書き換えられた同じパスのリクエストを扱うと,HTTPセッションが不当に削除されるおそれがあります。