以下について説明します。

• セッション使用時の注意

• 文字コードについて

• Cookieについて

• Cross-Site-Scriptingの脆弱性の問題

• ErrorやExceptionについて

• エラーページについて

• JSPの入れ替えについて

• ServletContext/ServletRequestの属性について

• FORM認証について

• HTTPレスポンスのデータ形式とヘッダについて

• HTTP/2使用時の注意

  
  

セッションIDについて

セッションIDの一意性の範囲、桁数、使用文字、フォーマットは、本製品のバージョンアップや修正適用に伴い変更される可能性があります。
そのため、これらに依存したアプリケーションや、Webアプリケーション範囲以外へのセッションIDの利用はおすすめいたしません。
例えば、セッションIDをデータベースに登録した場合は、本製品のバージョンアップによってカラムの桁数不足が発生する可能性があります。
また、リクエストやユーザーの正当性や一意性につきましては、セッションIDのみに依存しない方法により適切にチェック/保証するようにしてください。

セッションCookieについて

Cookieによるセッション管理は、Webコンテナによって自動的に行われます。
セッションCookieの追加などの操作は、アプリケーションで行わないようにしてください。
セッション継続やセキュリティ上の問題が発生する場合があります。

SSLアクセラレータを使用する場合

WebサーバーがSSL環境で動作している場合には、セッションCookieに自動的にSecure属性を付加します。
SSLアクセラレータを使用しておりWebサーバーが非SSL(HTTP)で動作している場合には、Secure属性は自動的に付加しません。Secure属性を付加する方法については、「3.2.1.2 GlassFish Web application deployment descriptor (glassfish-web.xml)」の「cookie-properties (親タグ:session-config)」を参照してください。

セッションIDを含むURLを生成する場合

WebアプリケーションでセッションIDを含むURLを生成する場合、以下のいずれかのAPIを使用するようにしてください。これらのAPIを使用しない場合、WebサーバーがセッションのあるGlassFish Serverインスタンスに対して正しくリクエストを振り分けない可能性があります。

• javax.servlet.http.HttpServletResponse#encodeURL(String)

• javax.servlet.http.HttpServletResponse#encodeRedirectURL(String)

  
  

Webブラウザが識別する文字コード

一般的に、Webブラウザは以下の順番で文字コードを識別します。

1. Content-Typeヘッダのcharsetに指定した文字コード

2. HTMLの場合は<meta>タグに指定した文字コード

指定した文字コードは、通常Webブラウザがコンテンツを表示する際の文字コード、また、Webブラウザがサーバーにリクエストを送信する際の文字コードとして使用されます。
Servlet/JSPに対してはContent-Typeヘッダの設定、HTMLファイルに対しては<meta>タグの設定を行ってください。
詳細は、HTML/Servlet/JSPの仕様を参照してください。

Webブラウザからのリクエストを読み込む時の文字コードについて

Webブラウザからのリクエストを正しい文字コードで処理するための方法には、以下の2つがあります。

Servlet APIでの指定

以下のServlet APIを使用して、文字コードを指定します。

• javax.servlet.ServletRequest.setCharacterEncoding

詳細は、Servletの仕様を参照してください。

例

  request.setCharacterEncoding("SJIS");

注意

このメソッドは、リクエストのパラメタを読み込む前、またはgetReaderメソッドを呼び出す前に実行されなければなりません。

glassfish-web.xmlでの指定

glassfish-web.xmlの<parameter-encoding>タグで文字コードを指定します。
定義方法の詳細は、「3.2.1.2 GlassFish Web application deployment descriptor (glassfish-web.xml)」を参照してください。

例

  <parameter-encoding default-charset="SJIS"/>

注意

javax.servlet.ServletRequest.setCharacterEncodingが指定されている場合は、setCharacterEncodingで指定された値が優先されます。

JSPの文字コード

JSPでは、以下の文字コードを正しく設定する必要があります。

• JSPファイルの文字コード

• ブラウザに返す文字コード

詳細は、JSPの仕様を参照してください。

Webアプリケーションがクライアントに返すレスポンスの文字コード

Webアプリケーション内でクライアントに返すレスポンスの文字コードが統一されていない場合、文字化けが発生することがあります。そのため、文字コードを統一してWebアプリケーションを作成してください。

レスポンスヘッダに指定する文字コード

HTTPレスポンスヘッダには、印字可能なASCIIコード範囲の文字を指定するようにしてください。それ以外の文字は、半角空白に置き換えられてクライアントに返却されます。

日本語などのASCIIではないファイル名のファイルをダウンロードする場合

WebアプリケーションでHTTPレスポンスヘッダにContent-Dispositionヘッダを設定することによりファイルのダウンロードが行われる場合、Content-Dispositionヘッダのfilename属性に日本語やISO-8859-1などの印字可能なASCIIコード範囲でない文字を指定すると、ダウンロードしたファイルのファイル名が文字化けすることがあります。

そのため、RFC6266に則りfilename*属性にURLエンコードしたファイル名を指定するようにしてください。このとき、java.net.URLEncoderのencodeメソッドを使用すると半角空白は+に変換されるため、encodeメソッドを実行して得られた文字列の「+」を「%20」に置換するようにしてください。

例

ファイル名「日本語ファイル名 (1).txt」をダウンロードするサーブレットのコード例

String fileName="日本語ファイル名 (1).txt";
String encodedFileName = URLEncoder.encode(fileName, "UTF-8");
encodedFileName = encodedFileName.replace("+", "%20");
response.setContentType("text/plain");
response.setHeader("Content-Disposition", "attachment; filename*=UTF-8\'\'" + encodedFileName);

Webコンテナ以外のサービスを使用する場合

Webコンテナ以外のサービスをWebアプリケーションで使用する場合、必要に応じて入出力データの文字コードを変換してください。
詳細は、使用するサービスのマニュアルを参照してください。

その他

「13.3.2 Jakarta EEアプリケーションで文字化けが発生する場合の対処」を参照してください。

ポート番号の指定

一部のWebブラウザでは、ポート番号に80(SSL通信の場合はポート番号443)を指定した場合と省略した場合とが別サーバーであると判断され、Cookieヘッダが送信されない場合があります。
そのため、アプリケーションでCookieによる制御を行う場合は、Webブラウザからの呼び出し方がどちらかに統一されるようにHTML、アプリケーションを構築することをおすすめします。

「使用上の注意」の「注意事項」－「Interstage共通の注意事項」－「Cross-Site Scripting問題について」を参照してください。

アプリケーションで発生したErrorやExceptionをWebブラウザに返却するアプリケーションは、内部の情報の漏洩につながるため、作成しないことを推奨します。
また、サーブレットやJSPで処理していない(catchしていない)ErrorやExceptionに対して、アプリケーションで適切にエラーハンドリングしていない場合、Webコンテナのデフォルトエラーページが表示されます。

エラーページのステータスコード

web.xmlに指定したエラーページ、またはデフォルトエラーページが表示された場合のステータスコードは通常、エラーページを表示する原因となったステータスコードが返されます(表示する原因が例外の場合、ステータスコードは500です)。

任意のステータスコード(例えば、200)を返したい場合、エラーページまたはFilterを使用してステータスコードを変更してください。

Webブラウザの設定

Webブラウザの種類や設定によっては意図したエラーページが表示されず、Webブラウザで用意されたエラーページが表示されることがあります。

例

Microsoft Edge
  インターネット オプションの「詳細設定」→「HTTP エラー メッセージを簡易表示する」が有効(デフォルト値)の場合。

JSPのコンパイル結果をコピーする場合

JSPのオートリロード機能を使用している場合、JSPのコンパイルは、JSPまたはJSPから静的includeされているファイルのタイムスタンプが、前回JSPのコンパイルをした時刻よりも未来の場合に実行されます。
したがって、開発中のJSPまたはJSPから静的includeされているファイルを修正前の状態に戻す場合は、ファイルのタイムスタンプをマシンの現在の時刻に更新してください。

JSPファイルを置き換える場合

JSPのオートリロード機能を使用して、GlassFish Serverクラスターが起動中に配備済みアプリケーションのJSPファイルを置き換える場合は、cpコマンドは使用せず、mvコマンドを使用して置き換えてください。

その際、移動元と移動先が同じファイルシステム上になるよう考慮が必要です。

移動先と別ファイルシステムから移動する場合には、移動先と同一ファイルシステム上の作業ディレクトリーに一度コピーした後に置き換えるようにしてください。

cpコマンドを使用した場合、その処理はアトミック(※)に行われないため、不完全な状態のJSPファイルで動作する可能性があり、JSPの処理でエラーが発生する。または、意図どおりの画面が表示されない場合があります。

※アトミックとは、更新途中など不完全な状態のファイルに対し参照されないことを保証している、という意味になります。

また、以下の場合も移動元ファイルを移動先ファイルにコピーする処理となるため、cpコマンドで置き換えた場合と同様になります。

• 移動元と移動先が異なるファイルシステム間でmvコマンドで置き換えた場合。

  
  

以下のプレフィックスで始まる属性は、予約されています。
値は、変更しないでください。

• java.

• javax.

• sun.

• com.sun.

• com.fujitsu.appsrv.

また、ServletContextAttributeListener/ServletRequestAttributeListenerが設定されている場合、Webコンテナが上記プレフィックスで始まる属性を追加、更新、削除するタイミングでリスナーのメソッドが呼び出されます。

POSTメソッドに対して認証を実施する場合の注意事項

以下の条件を満たした場合、Webブラウザに「HTTP Status 405」が表示され、リクエストの処理に失敗します。そのため、<http-method>には、GETも指定してください。

1. WebアプリケーションでGlassFishのセキュリティ機能を使用、かつ

2. FORM認証である場合、かつ

3. deployment descriptor(web.xml)で<http-method>にPOSTのみ指定している場合、かつ

4. 1.のWebアプリケーションに対して、3.の設定が有効となるコンテンツに対してHTTP POSTリクエストを送信、かつ

5. FORM認証の画面から目的のコンテンツに遷移した場合

認証後にリクエストのボディーを取得する場合の注意事項

以下の条件を満たした場合、ボディーを含むHTTP POSTリクエストを送信しても、Webアプリケーション内ではリクエストのボディーを正しく取得することができません。HTTP POSTリクエストを送信するときには、FORM認証の画面が表示されない状態(認証が 完了した状態)になるようにアプリケーションを作成してください。

1. WebアプリケーションでGlassFishのセキュリティ機能を使用、かつ

2. FORM認証である場合、かつ

3. ServletまたはJSPでリクエストのボディーを取得、かつ

4. Webアプリケーションに対して、HTTP POSTリクエストを送信、かつ

5. FORM認証の画面から目的のコンテンツに遷移した場合

HTTP/1.1の場合に送信するデータが一定サイズを超えた場合、送信データはチャンク化されて“Content-Length”ではなく“Transfer-Encoding: chunked”ヘッダが使用されます。HTTPクライアントを設計する場合は、送信データがチャンク化されることを想定した設計にしてください。

送信データのチャンク化を行わない設計にするためには、レスポンスのバッファサイズに十分大きなサイズを指定し、レスポンスのflushは行わないでください。

X-Powered-Byヘッダーフィールドについて

HTTP/2接続時には、ネットワーク設定の定義項目「X-Powered-By ヘッダーフィールド」の値に関わらず、Webコンテナが生成するHTTPレスポンスにX-Powered-Byヘッダーフィールドは含まれません。

本定義項目の詳細については、「9.8.3 ネットワーク設定の定義項目」の「X-Powered-By ヘッダーフィールド」を参照してください。

HTTPレスポンスのデータ形式とヘッダについて

HTTP/2接続時には、サーブレットやJSPに対するHTTPレスポンスに“content-length”ヘッダがデフォルトで含まれません。また、“transfer-encoding: chunked”ヘッダが含まれることはありません。

HTTPクライアントを設計する場合は、HTTPレスポンスにこれらのヘッダが含まれない場合があることを想定した設計にしてください。

ただし、以下のいずれかの条件を満たす場合には、HTTPレスポンスに“content-length”ヘッダは含まれます。

• javax.servlet.ServletResponseインターフェイスのsetContentLengthメソッドまたはsetContentLengthLongメソッドにより、明示的に本文の長さを指定している。または、

• 静的リソース（HTMLページや画像など）に対するリクエストへのレスポンスである。または、

• サーブレットに対するHTTP HEADメソッドのリクエストへのレスポンスである場合。