multipart アップロード：実装依存らしいが、メジャーなFWならそれぞれなりに対応している。
- JAX-RSでファイルアップロード！ - ゆみちの投げやりブログ
-- http://yumix.hatenablog.jp/entry/2012/12/17/002515
- jax rs - Jaxrs multipart - Stack Overflow
-- http://stackoverflow.com/questions/14563219/jaxrs-multipart
- Chapter 8. Support for Common Media Type Representations
-- https://jersey.java.net/documentation/latest/media.html#multipart

Security, CSRF対策関連：
- Rest Security with JAX-RS
-- http://www.slideshare.net/fykim/rest-security-with-jaxrs
- WebAPIのステートレスなCSRF対策 - あめだま
-- http://d.hatena.ne.jp/momijiame/20111204/1323000833
- Jersey and Cross-Site Request Forgery (CSRF) » Martin's Weekend Coding
-- http://blog.alutam.com/2011/09/14/jersey-and-cross-site-request-forgery-csrf/
- Jersey sin Csrf protection
-- https://gist.github.com/lillesand/5917603
- security - How to prevent CSRF in a RESTful application? - Stack Overflow
-- http://stackoverflow.com/questions/2392100/how-to-prevent-csrf-in-a-restful-application
- Apps and Security: Stateless CSRF Protection
-- http://appsandsecurity.blogspot.de/2012/01/stateless-csrf-protection.html

CSRF対策についてだが、JavaScriptからヘッダーを付けるようにして、サーバ側でそのヘッダーの有無をチェックする方法がいくつかで紹介されていた。SOPに従えばヘッダーをJavaScriptで操作できるのはSameOriginに限定されるので問題ないだろう、とのこと。
ただ、これはXHR2が登場したため、前提は崩れていると思われる。また、XHR2におけるSOPは主にpreflightと、レスポンスを読めるか否かに関わってきており、リクエストを飛ばすだけであれば可能な状態になっていることは徳丸氏やはせがわようすけ氏からの各種スライド・講演資料などから確認できる。
・・・うーん・・・。

Jerseyでセッションを使うには・・・"@Context" でHttpServletRequestをInjectionするのが王道か。
- JAX-RS のリファレンス実装 Jersey のフィルタを使う方法 その2 - あめだま
-- http://d.hatena.ne.jp/momijiame/20111116/1321455103
--- FilterのインスタンスフィールドにInjectionできるが、FilterはApplicationに対して1インスタンスしか生成されないので、同時リクエストで競合が発生するのでは？→Jerseyの実装ではThreadLocalに紐づくため、実用上は問題ないらしい。
- java - jersey security and session management - Stack Overflow
-- http://stackoverflow.com/questions/909185/jersey-security-and-session-management
- spring - Session management for a RESTful Web Service using Jersey - Stack Overflow
-- http://stackoverflow.com/questions/12150076/session-management-for-a-restful-web-service-using-jersey