HTTPセッションとは、同一のWebブラウザからの複数回のリクエストを、同一のWebブラウザからのアクセスとして処理するための機能です。この機能を利用することで、サーブレットで前回の処理結果を引き継ぐことができ、継続的な処理が可能となります。
アプリケーションでセッションタイムアウトを指定しない場合、セッションは30分でタイムアウトします。
Servlet 3.0から、HTTPセッションに関して、web.xmlやServlet APIで設定可能な項目が増えました。セキュリティ強化のために、セッションCookieにHttpOnly属性を付与すること、トラッキングモードを指定することをお勧めします。詳細は、「5.1 Java EE 7に関するセキュリティ対策」の以下を参照してください。
クロスサイト・スクリプティングによるセッションCookieの漏洩
セッション情報の漏洩
注意
Servlet 3.0から、セッションCookie名を「JSESSIONID」から変更することができるようになりました。Webサーバ連携する場合は、セッションCookie名を「JSESSIONID」から変更しないようにしてください。また、SSLアクセラレータ、負荷分散装置と連携する場合は、振り分け制御に使用するセッションCookie名に注意するようにしてください。
その他のセッションに関する注意事項は、「1.4.3 Webアプリケーションの注意事項」の以下も参照してください。
セッション使用時の注意
