ここでは、WebコンテナでServletを実行する際に、考慮すべきことを簡単に説明します。

Servletを利用したアプリケーションの作り方や詳しい説明については、Servletの仕様を参照してください。

HTTPセッションとは、同一のWebブラウザからの複数回のリクエストを、同一のWebブラウザからのアクセスとして処理するための機能です。この機能を利用することで、サーブレットで前回の処理結果を引き継ぐことができ、継続的な処理が可能となります。

アプリケーションでセッションタイムアウトを指定しない場合、セッションは30分でタイムアウトします。

Servlet 3.0では、HTTPセッションに関して、web.xmlやServlet APIで設定可能な項目が増えました。セキュリティ強化のために、セッションCookieにHttpOnly属性を付与すること、トラッキングモードを指定することをお勧めします。詳細は、「5.1 Java EE 6に関するセキュリティ対策」の以下を参照してください。

• クロスサイト・スクリプティングによるセッションCookieの漏洩

• セッション情報の漏洩

エラーページとは、何らかのエラーが発生した場合にクライアントに返されるコンテンツです。ブラウザに表示されるエラーページは、以下の3種類です。

• Webサーバのエラーページ(Webサーバ連携している場合)

• Webコンテナのデフォルトエラーページ

• Webアプリケーションのエラーページ

上記のうちカスタマイズ可能なエラーページは、WebサーバのエラーページとWebアプリケーションのエラーページです。設定方法については、以下を参照してください。

• Webサーバのエラーページ
  「Interstage HTTP Server 2.2 運用ガイド」の「ディレクティブ一覧」のErrorDocumentを参照してください。

• Webアプリケーションのエラーページ
  web.xmlで設定できます。詳細は、Servlet/JSPの仕様を参照してください。

次に各エラーページが使用される契機について説明します。

Webサーバのエラーページ

以下の場合にエラーページが使用されます。

• 要求されたリクエストURLに誤りがある場合

• Webサーバコネクタが、Webコンテナに対する通信で、送受信タイムアウトを検知した場合や、Webコンテナのダウンを検知した場合

• Webサーバコネクタでエラーが発生した場合

リクエストがWebコンテナで処理された場合は、このエラーページは表示されません。

Webコンテナのデフォルトエラーページ

以下の場合にエラーページが使用されます。

• WebアプリケーションでExceptionやErrorが発生する、またはjavax.servlet.http.HttpServletResponse#sendError(int)メソッドを実行し、かつ対応するエラーページが設定されていない場合

• リクエストに不備があり、Webアプリケーションでの処理が開始される前にWebコンテナがクライアントにレスポンスを送信する場合

• Webアプリケーションに不備があり、Webアプリケーションの初期化や実行に失敗した場合

詳細は、Servletの仕様を参照してください。

Webアプリケーションのエラーページ

以下の場合にエラーページが使用されます。

• WebアプリケーションでExceptionやErrorが発生する、またはjavax.servlet.http.HttpServletResponse#sendError(int)メソッドを実行し、かつ対応するエラーページが設定されている場合

詳細は、Servletの仕様を参照してください。

welcome fileとは、リクエストされたURIがファイル名でない場合に表示するファイルのことです。welcome fileがない場合は、Webコンテナはステータスコード404(Not Found)を返却します。

Java EE 6のWebコンテナは、デフォルトで以下の3種類のwelcome fileが設定されており、上から順番に適用されます。

• index.html

• index.htm

• index.jsp

welcome fileは、web.xmlで変更することができます。詳細は、Servlet/JSPの仕様を参照してください。

Servlet 3.0で、ファイルアップロード機能が追加されました。ここでは、ファイルアップロード機能を使用する上での注意事項を記載します。