home ホーム search 検索 -  login ログイン  | reload edit datainfo version cmd icon diff delete  | help ヘルプ

日記/2014/02/03/JAX-RS 2.0, Jerseyのメモその2

日記/2014/02/03/JAX-RS 2.0, Jerseyのメモその2

日記 / 2014 / 02 / 03 / JAX-RS 2.0, Jerseyのメモその2
id: 1259 所有者: msakamoto-sf    作成日: 2014-02-03 08:07:19
カテゴリ: Java 

multipart アップロード:実装依存らしいが、メジャーなFWならそれぞれなりに対応している。

Security, CSRF対策関連:

CSRF対策についてだが、JavaScriptからヘッダーを付けるようにして、サーバ側でそのヘッダーの有無をチェックする方法がいくつかで紹介されていた。SOPに従えばヘッダーをJavaScriptで操作できるのはSameOriginに限定されるので問題ないだろう、とのこと。
ただ、これはXHR2が登場したため、前提は崩れていると思われる。また、XHR2におけるSOPは主にpreflightと、レスポンスを読めるか否かに関わってきており、リクエストを飛ばすだけであれば可能な状態になっていることは徳丸氏やはせがわようすけ氏からの各種スライド・講演資料などから確認できる。
・・・うーん・・・。

Jerseyでセッションを使うには・・・"@Context" でHttpServletRequestをInjectionするのが王道か。


プレーンテキスト形式でダウンロード
現在のバージョン : 1
更新者: msakamoto-sf
更新日: 2014-02-03 08:15:32
md5:cf2f03adbbe77bce124c92a5c5d91f88
sha1:ce1ac1ca6e67004eac4b66b0ba97320f608a3ed9
コメント
コメントを投稿するにはログインして下さい。