日記/2014/02/03/JAX-RS 2.0, Jerseyのメモその２

日記 / 2014 / 02 / 03 / JAX-RS 2.0, Jerseyのメモその２

id: 1259 所有者: msakamoto-sf 作成日: 2014-02-03 08:07:19
カテゴリ: Java

multipart アップロード：実装依存らしいが、メジャーなFWならそれぞれなりに対応している。

JAX-RSでファイルアップロード！ - ゆみちの投げやりブログ
- http://yumix.hatenablog.jp/entry/2012/12/17/002515
jax rs - Jaxrs multipart - Stack Overflow
- http://stackoverflow.com/questions/14563219/jaxrs-multipart
Chapter 8. Support for Common Media Type Representations
- https://jersey.java.net/documentation/latest/media.html#multipart

Security, CSRF対策関連：

Rest Security with JAX-RS
- http://www.slideshare.net/fykim/rest-security-with-jaxrs
WebAPIのステートレスなCSRF対策 - あめだま
- http://d.hatena.ne.jp/momijiame/20111204/1323000833
Jersey and Cross-Site Request Forgery (CSRF) » Martin's Weekend Coding
- http://blog.alutam.com/2011/09/14/jersey-and-cross-site-request-forgery-csrf/
Jersey sin Csrf protection
- https://gist.github.com/lillesand/5917603
security - How to prevent CSRF in a RESTful application? - Stack Overflow
- http://stackoverflow.com/questions/2392100/how-to-prevent-csrf-in-a-restful-application
Apps and Security: Stateless CSRF Protection
- http://appsandsecurity.blogspot.de/2012/01/stateless-csrf-protection.html

CSRF対策についてだが、JavaScriptからヘッダーを付けるようにして、サーバ側でそのヘッダーの有無をチェックする方法がいくつかで紹介されていた。SOPに従えばヘッダーをJavaScriptで操作できるのはSameOriginに限定されるので問題ないだろう、とのこと。
ただ、これはXHR2が登場したため、前提は崩れていると思われる。また、XHR2におけるSOPは主にpreflightと、レスポンスを読めるか否かに関わってきており、リクエストを飛ばすだけであれば可能な状態になっていることは徳丸氏やはせがわようすけ氏からの各種スライド・講演資料などから確認できる。
・・・うーん・・・。

Jerseyでセッションを使うには・・・"@Context" でHttpServletRequestをInjectionするのが王道か。

JAX-RS のリファレンス実装 Jersey のフィルタを使う方法その2 - あめだま
- http://d.hatena.ne.jp/momijiame/20111116/1321455103
  - FilterのインスタンスフィールドにInjectionできるが、FilterはApplicationに対して1インスタンスしか生成されないので、同時リクエストで競合が発生するのでは？→Jerseyの実装ではThreadLocalに紐づくため、実用上は問題ないらしい。
java - jersey security and session management - Stack Overflow
- http://stackoverflow.com/questions/909185/jersey-security-and-session-management
spring - Session management for a RESTful Web Service using Jersey - Stack Overflow
- http://stackoverflow.com/questions/12150076/session-management-for-a-restful-web-service-using-jersey

プレーンテキスト形式でダウンロード

現在のバージョン : 1
更新者: msakamoto-sf
更新日: 2014-02-03 08:15:32
md5:cf2f03adbbe77bce124c92a5c5d91f88
sha1:ce1ac1ca6e67004eac4b66b0ba97320f608a3ed9