セキュリティ
セッション情報のチェックなしで表示したい画面の指定
SmartDB Ver.2.3.5以降では、全てのURLに関してsession情報に基づいた権限チェックを行っています。
URL(About.doや、HBKPing.doのようにライフチェック等で使用していたURLなど)についてもsessionを取得した状態でしか表示出来ません。
sessionのチェック無しで表示できるようにするにはdefault.xmlに以下の記述を行う必要があります。チェックする場合は設定の必要はありません。必要に応じて設定してください。
表 セッション情報のチェックなしで表示したい画面の指定
| 親要素 | default-values.system | ||
|---|---|---|---|
| 要素 | 名称 | 初期値 | 説明 |
| web-service-hosts.whitelist | - | チェック対象からはずす画面を指定します。 パスは相対パスで指定します。「http://【サーバ名】/hibiki/」が自動的に参照されます。 |
|
| 記述例 | <system.web-service-hosts.whitelist> About.do \ api/HBKPing.do </system.web-service-hosts.whitelist> |
||
※複数のパスを指定する場合は、「 」(半角スペース)区切り、もしくは「\」+改行で複数指定を行います。
※設定を反映させるには、tomcatサービスの再起動が必要です。
※上記の設定を行った場合でも、csrfTokenによるチェックや文書、バインダ等による権限制御は有効です。
※全文検索エンジンにLuxorを利用する場合は、本設定にLuxorサーバからの接続元を設定する必要があります。
csrfToken無しのURLでアクセスしたい画面の指定
SmartDB Ver.2.3.5以降では、全てのURLに関してCSRF対策を行っています。
正常なcsrfTokenが付加されていないリクエストについては不正なリクエストとして扱われます、これはアドオンに関しても例外ではありません。
そのため、アドオンで作成したURLや、SmartDB内のcsrfTokenチェック対象のURLをcsrfToken無しのURLでアクセスしたい場合は以下の設定を行う必要があります。
表 csrfToken無しのURLでアクセスしたい画面の指定
| 親要素 | default-values.hibiki | ||
|---|---|---|---|
| 要素 | 名称 | 初期値 | 説明 |
| session.csrf.whitelist | - | アドオンで作成したURLや、SmartDB内のcsrfTokenチェック対象のURLをcsrfToken無しのURLでアクセスしたい画面を指定します。 パスは相対パスで指定します。「http://【サーバ名】/hibiki/」が自動的に参照されます。 |
|
| 記述例 | <hibiki.session.csrf.whitelist> WfStartConfirm.do </hibiki.session.csrf.whitelist> |
||
Cookieのセキュア属性に関する設定
デフォルトでCookieのセキュア属性(HttpOnly, Secure, SameSite)に対応しています。環境によりセキュア属性を無効にする場合は、下記設定を使用してください。
表 Cookieのセキュア属性に関する設定
| 親要素 | default-values.system.cookie | ||
|---|---|---|---|
| 要素 | 名称 | 初期値 | 説明 |
| httpOnly | true | true:Cookie「HIBIKI」に対してHttpOnly属性をつける false:Cookie「HIBIKI」に対してHttpOnly属性をつけない |
|
| secure | true | true:Cookie「HIBIKI」に対してSecure属性をつける false:Cookie「HIBIKI」に対してSecure属性をつけない ※ブラウザとSmartDB間でhttp通信する環境では、必ず「false」に設定してください。 |
|
| sameSite | なし | SmartDBのcookie「HIBIKI」に対して、SameSite属性を設定します。 設定可能な値:[Strict|Lax|None] ※デフォルトでは設定されず、動作はブラウザ依存となります。 ※ブラウザとSmartDB間でhttp通信する環境では、設定不要です。 |
|