巷でうわさのTomcat7ですが、新しい機能として Generic CSRF protection Web application memory leak detection and prevention という気になる機能が入っているね、とT2チーム内で話題になっていました。 Tomcatのサイトを見るとバイナリ版配布が開始されていたので、とりいそぎJadってみることにしました。 Generic CSRF protection CSRFについては高木先生などの専門家に解説をまかせますが、要はサイト外からのリクエストによって不正な処理が行われてしまう、というセキュリティホールです。(リンクを押すと、mixiに勝手に書き込まれてしまうとかありましたよね) これを防ぐには、リクエストデータがサイト外からきているかどうかを判定する(=リクエストがサイト内から来ていることを判定する)ことが必要です
