開発Blog

「戻る」ボタン問題の解法

投稿日:

 


※下記内容は、過去のintra-mart(Ver4.3以前)に関する内容です。
最新のintra-martでは、異なる情報であることがありますので、ご注意ください。


 

業務システムの中で、ブラウザの「戻る」ボタンは、以前よりやっかいな問題を引き起こす種となっています。
特にWebアプリケーションのセキュリティを低下させる1つの原因ととらえられています。
このTipsでは、intra-martの「戻る」ボタン対策について紹介していきます。

「戻る」ボタンの問題は、結局は、ブラウザのキャッシュに対する対応ということになります。
Ver.4.3 時点でこの問題に対する対応は以下のようになっています。

■キャッシュの制御
ページベース開発モデルのみ、ブラウザにキャッシュを許可しないというHTTPレスポンスヘッダを自動で付加する機能があります。
これは、設定ファイル conf/imart.xml で機能の有効・無効を設定します。(※1)

■リンクの制御
仮に、キャッシュされたページが表示されてしまった場合、そのキャッシュされた画面に表示されているリンク(またはフォーム)をリクエストした場合の制御 です。

(1) Presentation-Framework
リンクは、トークンと呼ばれる仕組みによって制御されていますので、キャッシュされた画面のリンクはすべて無効になります。
つまり、次ページへのリンクは絶対にできません。

(2)ページベース開発モデル
セッションに対して有効なリクエストであるかどうかをチェックしています。
例えば、クエリの内容を改竄されたり、ログアウト後にキャッシュされたページのリンクをリクエストした場合は、いずれも無効と判断し、エラー扱いとなりま す。

■「戻る」ボタン自体の制御
基本的に、ブラウザの機能になるため制御は不可能です。
ただし、intra-martのタグライブラリを利用した場合のみ、ある程度制御できます。

(※1)ただし、「キャッシュの制御」には注意点があります。
この機能を使うと、ブラウザがページをキャッシュしにくくなるため、キャッシュを利用した機能が正常に動作しなくなります。
・クライアント側・・・history.back() など
・サーバ側・・・Module.alert.back() など
ここで問題になるのが、intra-mart BaseModule が標準で持っているメンテナンス系画面でも、入力エラー時のメッセージ画面等の一部で Module.alert.back() を使っていることです。
これらの画面でエラーメッセージ画面から元の入力画面に戻れないという現象が発生することがあります。

さて、Ver.5.0 ではどうなるか?・・・というと、

■NoCacheFilter を標準提供します。
im-J2EE Framework およびページベース開発モデルに標準設定する予定です。
これによって、im-J2EE Framework やページベース開発モデルの画面は、ブラウザにキャッシュされなくなります。
#ブラウザの挙動に依存するので、正確には「キャッシュされにくくなる」と
#表現するのが適切です。

■メンテナンス画面の多くは Flash によって作成しています。
Flash の画面コンポーネントはブラウザのキャッシュ対象となりますが、画面自体がキャッシュされるワケではなくなります。
画面コンポーネントがデータをサーバから受け取って、初めて画面が表示されます。データ自体はキャッシュされませんので、画面がキャッシュされても情報が 表示される事はありません。

以上参考にしてください。

-開発Blog
-

執筆者:

関連記事

no image

intra-mart Advent Calendar 2013 第12日:認可リソースの拡張方法

この記事は、intra-mart Advent Calendar 2013 第12日の記事です。 今回は「認可リソースの拡張方法」をご紹介したいと思います。 intra-mart Accel Plat …

no image

EWS2017 「業務への適用イメージがすぐに湧く!  魔法の業務ロジック作成ツール『IM-LogicDesigner』実用例 10本勝負!」講演内容のご紹介

この記事では、EWS2017 Technology Track「業務への適用イメージがすぐに湧く!  魔法の業務ロジック作成ツール『IM-LogicDesigner』実用例 10本勝負!」での講演内容 …

no image

intra-mart Advent Calendar 2013 第10日:認可サブジェクトの拡張方法

この記事は、intra-mart Advent Calendar 2013 第10日の記事です。 今回は「認可サブジェクトの拡張方法」をご紹介したいと思います。 intra-mart Accel Pl …

no image

intra-mart Advent Calendar 2013 第19日:iAPでキャッシュしている所は何処だ!?

この記事は、intra-mart Advent Calendar 2013 第19日の記事です。 AdventCalendarの新機軸!?=我がチーム担当機能の宣伝の一環「認可機構(im-authz) …

no image

DB周り便利ツール

こんにちは。 そろばん3級、IM10級、現在、NTTデータビズインテグラルにて修行中の斎藤です。 IMのスキルが低いので、IMではなくオープンソースの便利ツールを紹介します。 「DBFlute」という …

まだデータがありません。

RSSRSSRSSRSS