[Seasar-user:21440] Re: [SAStruts]トランザクショントークンについての質問
ide
[E-MAIL ADDRESS DELETED]
2012年 8月 31日 (金) 16:56:05 JST
ideと申します。
あまり聞いたことがないですが、作っておられるのは複数のタブで運用するWebアプリなのでしょうか?
現在出回っているブラウザーは複数タブでセッションを共有するものがほとんどのようです。
なので、riot-going-onさんのようなWebアプリは、seasarだけでなく、他のフレームワークでも運用は難しいような気がします。
ただ、ブラウザーによっては(IEなど)、別Windowであればセッションを共有しないで済むようです。
見当違いの回答でしたらすみません。
2012年8月31日 15:58 riot-going-on <riot-going-on @ hotmail.co.jp>:
> こんにちは。
>
> トランザクショントークンについて質問です。
>
> 現在、SAStrutsにて複数の登録フォームが同時に運用されるアプリケーションを開発しております。
> ActionFormのスコープをセッションにして、パラメータを受け渡しております。
>
> その際にセッションフィクセーション対策、二重送信対策として、TokenProcessorのトランザクショントークンを使用して対策としております。
> この場合、Sessionのキーが
>
> "org.apache.struts.action.TOKEN"
>
> となると思いますが、先述の通り複数のフォームが同時に走るため、同一ブラウザで複数のフォームを立ち上げて並行して登録を進めた場合に、
> トークンのSession値が上書きされてしまい、片方がエラー扱いになってしまいます。
>
> これについて、それぞれのActionから別のキーを指定してSessionに保存してトークンチェックを行う方法は無いでしょうか。
>
> ユニークなキーの指定が不可能な場合、代替として考えられる機能はあるでしょうか。
>
> いずれも無理な場合は、登録フォームごとに独自のワンタイムトークンの処理を実装する他ないのでしょうか。
>
> お分かりでしたら、お教えいただけると助かります。
>
> よろしくお願いいたします。
> _______________________________________________
> Seasar-user mailing list
> Seasar-user @ ml.seasar.org
> https://ml.seasar.org/mailman/listinfo/seasar-user
Seasar-user メーリングリストの案内