※下記内容は、過去のintra-mart(Ver4.3以前)に関する内容です。
最新のintra-martでは、異なる情報であることがありますので、ご注意ください。
業務システムの中で、ブラウザの「戻る」ボタンは、以前よりやっかいな問題を引き起こす種となっています。
特にWebアプリケーションのセキュリティを低下させる1つの原因ととらえられています。
このTipsでは、intra-martの「戻る」ボタン対策について紹介していきます。
「戻る」ボタンの問題は、結局は、ブラウザのキャッシュに対する対応ということになります。
Ver.4.3 時点でこの問題に対する対応は以下のようになっています。
■キャッシュの制御
ページベース開発モデルのみ、ブラウザにキャッシュを許可しないというHTTPレスポンスヘッダを自動で付加する機能があります。
これは、設定ファイル conf/imart.xml で機能の有効・無効を設定します。(※1)
■リンクの制御
仮に、キャッシュされたページが表示されてしまった場合、そのキャッシュされた画面に表示されているリンク(またはフォーム)をリクエストした場合の制御 です。
(1) Presentation-Framework
リンクは、トークンと呼ばれる仕組みによって制御されていますので、キャッシュされた画面のリンクはすべて無効になります。
つまり、次ページへのリンクは絶対にできません。
(2)ページベース開発モデル
セッションに対して有効なリクエストであるかどうかをチェックしています。
例えば、クエリの内容を改竄されたり、ログアウト後にキャッシュされたページのリンクをリクエストした場合は、いずれも無効と判断し、エラー扱いとなりま す。
■「戻る」ボタン自体の制御
基本的に、ブラウザの機能になるため制御は不可能です。
ただし、intra-martのタグライブラリを利用した場合のみ、ある程度制御できます。
(※1)ただし、「キャッシュの制御」には注意点があります。
この機能を使うと、ブラウザがページをキャッシュしにくくなるため、キャッシュを利用した機能が正常に動作しなくなります。
・クライアント側・・・history.back() など
・サーバ側・・・Module.alert.back() など
ここで問題になるのが、intra-mart BaseModule が標準で持っているメンテナンス系画面でも、入力エラー時のメッセージ画面等の一部で Module.alert.back() を使っていることです。
これらの画面でエラーメッセージ画面から元の入力画面に戻れないという現象が発生することがあります。
さて、Ver.5.0 ではどうなるか?・・・というと、
■NoCacheFilter を標準提供します。
im-J2EE Framework およびページベース開発モデルに標準設定する予定です。
これによって、im-J2EE Framework やページベース開発モデルの画面は、ブラウザにキャッシュされなくなります。
#ブラウザの挙動に依存するので、正確には「キャッシュされにくくなる」と
#表現するのが適切です。
■メンテナンス画面の多くは Flash によって作成しています。
Flash の画面コンポーネントはブラウザのキャッシュ対象となりますが、画面自体がキャッシュされるワケではなくなります。
画面コンポーネントがデータをサーバから受け取って、初めて画面が表示されます。データ自体はキャッシュされませんので、画面がキャッシュされても情報が 表示される事はありません。
以上参考にしてください。
