Version1

CSRF対策設定方法

CSRF対策用設定ファイル(servername.conf)を編集します
CSRF対策の一つとして指定したサーバ以外からの画面遷移を許可しない様に設定することができます。(ログイン画面を除く)

この機能を有効にするにはGroupSessionをインストールしたgsessionディレクトリの中にあるservername.confを編集します。
例:Cドライブ直下にインストールした場合、C:\gsession\WEB-INF\conf\servername.conf となります。

servername.confファイルをテキストエディタで開きGroupSessionへの画面遷移を許可するサーバ名を記述します。
※多くの場合は、GroupSessionをインストールしたサーバのIPアドレス、FQDNを指定します。

複数指定したい場合はカンマ区切りで設定してください。未設定にするとCSRF対策は無効になります。

servername.conf

#アクセス可能なサーバ名称を取得する

#ex: localhost,192.168.1.1

SERVER_NAME=192.168.1.10,gs.servername.co.jp


tomcatを再起動
servername.confを保存し、tomcatを再起動することで設定が反映されます。
※本機能はどこのWebページから発行されたリクエストかを示すリファラー(REFERER)情報を元に機能しています。
本機能を有効にするとユーザがリファラー情報を提供しないブラウザを使用した場合、GroupSessionへはアクセスできなくなります。

Copyright 日本トータルシステム株式会社