リクエストマッピング

Reactive スタックに相当する部分を参照

@RequestMapping メソッドは、URL パターンを使用してマッピングできます。2 つの選択肢があります。

PathPattern は、Web アプリケーションに推奨されるソリューションであり、Spring WebFlux で唯一の選択肢です。バージョン 5.3 から Spring MVC での使用が有効になり、バージョン 6.0 からデフォルトで有効になります。パスマッチングオプションのカスタマイズについては、MVC 設定を参照してください。

PathPattern は、AntPathMatcher と同じパターン構文をサポートします。さらに、キャプチャーパターンもサポートします。{*spring}、パスの終わりで 0 個以上のパスセグメントを一致させるため。PathPattern は、パターンの最後でのみ許可されるように、複数のパスセグメントを照合するための ** の使用も制限します。これにより、特定のリクエストに最適なパターンを選択する際のあいまいさの多くのケースが排除されます。完全なパターン構文については、PathPattern (Javadoc) および AntPathMatcher (Javadoc) を参照してください。

いくつかのパターン例:

キャプチャーされた URI 変数は @PathVariable でアクセスできます。例：

次の例に示すように、クラスおよびメソッドレベルで URI 変数を宣言できます。

URI 変数は適切な型に自動的に変換されるか、TypeMismatchException が発生します。単純型（int、long、Date など）はデフォルトでサポートされており、他のデータ型のサポートを登録できます。型変換および DataBinder を参照してください。

URI 変数に明示的に名前を付けることができますが (たとえば、@PathVariable("customId"))、名前が同じで、コードが -parameters コンパイラーフラグでコンパイルされている場合は、その詳細を省略できます。

構文 {varName:regex} は、{varName:regex} の構文を持つ正規表現で URI 変数を宣言します。例: URL "/spring-web-3.0.5.jar" を指定すると、次のメソッドは名前、バージョン、ファイル拡張子を抽出します。

URI パスパターンには、PropertySourcesPlaceholderConfigurer をローカル、システム、環境、その他のプロパティソースに対して使用することにより、起動時に解決される ${…​} プレースホルダーを埋め込むこともできます。これを使用して、たとえば、外部設定に基づいてベース URL をパラメーター化できます。

Reactive スタックに相当する部分を参照

複数のパターンが URL に一致する場合は、最適なものを選択する必要があります。これは、解析された PathPattern の使用が有効になっているかどうかに応じて、次のいずれかで実行されます。

どちらも、より具体的なパターンを上位にしてパターンを並べ替えるのに役立ちます。URI 変数の数 (1 としてカウント)、単一のワイルドカード (1 としてカウント)、および二重ワイルドカード (2 としてカウント) の数が少ないほど、パターンはより具体的になります。スコアが等しい場合、より長いパターンが選択されます。同じスコアと長さの場合、ワイルドカードよりも多くの URI 変数を含むパターンが選択されます。

デフォルトのマッピングパターン（/**）はスコアリングから除外され、常に最後にソートされます。また、プレフィックスパターン（/public/** など）は、二重ワイルドカードを持たない他のパターンよりも特定性が低いと見なされます。

詳細については、上記のパターンコンパレータへのリンクをたどってください。

5.3 以降、デフォルトで Spring MVC は .* サフィックスパターンマッチングを実行しなくなりました。/person にマップされたコントローラーも暗黙的に /person.* にマップされます。結果として、パス拡張は、レスポンスのためにリクエストされたコンテンツ型を解釈するために使用されなくなりました (たとえば、/person.pdf、/person.xml など)。

ブラウザーが一貫して解釈するのが困難な Accept ヘッダーを送信するために使用した場合、この方法でファイル拡張子を使用する必要がありました。現時点では、もはや必要ではなく、Accept ヘッダーを使用することをお勧めします。

時間の経過とともに、ファイル名拡張子の使用はさまざまな点で問題があることが証明されています。URI 変数、パスパラメーター、URI エンコードを使用してオーバーレイすると、あいまいさが生じる可能性があります。URL ベースの認可とセキュリティ（詳細については次のセクションを参照）についての推論もより困難になります。

5.3 より前のバージョンでパス拡張機能の使用を完全に無効にするには、次のように設定します。

"Accept" ヘッダー以外の方法でコンテンツ型をリクエストする方法があると便利です。ブラウザーで URL を入力するとき。パス拡張の安全な代替手段は、クエリパラメーター戦略を使用することです。ファイル拡張子を使用する必要がある場合は、ContentNegotiationConfigurer の mediaTypes プロパティを使用して、明示的に登録された拡張子のリストに制限することを検討してください。

反射ファイルダウンロード（RFD）攻撃は、レスポンスに反映されるリクエスト入力（クエリパラメーターや URI 変数など）に依存するという点で XSS に似ています。ただし、JavaScript を HTML に挿入する代わりに、ブラウザーを切り替えてダウンロードを実行し、後でダブルクリックしたときにレスポンスを実行可能なスクリプトとして処理することに依存します。

Spring MVC では、@ResponseBody および ResponseEntity メソッドが危険にさらされます。これは、クライアントが URL パス拡張を介してリクエストできるさまざまなコンテンツ型をレンダリングできるためです。サフィックスパターンマッチングを無効にし、コンテンツネゴシエーションにパス拡張を使用すると、リスクは低下しますが、RFD 攻撃を防ぐには不十分です。

RFD 攻撃を防ぐために、Spring MVC は、レスポンス本文をレンダリングする前に、固定された安全なダウンロードファイルを提案する Content-Disposition:inline;filename=f.txt ヘッダーを追加します。これは、URL パスに、コンテンツネゴシエーションに対して安全として許可されておらず、明示的に登録されていないファイル拡張子が含まれている場合にのみ行われます。ただし、URL をブラウザーに直接入力すると、副作用が生じる可能性があります。

多くの一般的なパス拡張は、デフォルトで安全として許可されています。カスタム HttpMessageConverter 実装を使用するアプリケーションは、コンテンツネゴシエーションのファイル拡張子を明示的に登録して、それらの拡張子に Content-Disposition ヘッダーが追加されないようにすることができます。コンテンツタイプを参照してください。

RFD に関連する追加の推奨事項については、CVE-2015-5211 を参照してください。

Reactive スタックに相当する部分を参照

次の例に示すように、リクエストの Content-Type に基づいてリクエストマッピングを絞り込むことができます。

consumes 属性は否定表現もサポートします。たとえば、!text/plain は text/plain 以外のコンテンツ型を意味します。

クラスレベルで共有 consumes 属性を宣言できます。ただし、他のほとんどのリクエストマッピング属性とは異なり、クラスレベルで使用する場合、メソッドレベルの consumes 属性はクラスレベルの宣言を継承するのではなくオーバーライドします。

Reactive スタックに相当する部分を参照

次の例に示すように、Accept リクエストヘッダーとコントローラーメソッドが生成するコンテンツ型のリストに基づいて、リクエストマッピングを絞り込むことができます。

メディア型は文字セットを指定できます。否定式がサポートされています。たとえば、!text/plain は、"text/plain" 以外のすべてのコンテンツ型を意味します。

クラスレベルで共有 produces 属性を宣言できます。ただし、他のほとんどのリクエストマッピング属性とは異なり、クラスレベルで使用する場合、メソッドレベルの produces 属性はクラスレベルの宣言を継承するのではなくオーバーライドします。

Reactive スタックに相当する部分を参照

リクエストパラメーターの条件に基づいて、リクエストマッピングを絞り込むことができます。リクエストパラメーターの存在（myParam）、パラメーターの不在（!myParam）、特定の値（myParam=myValue）をテストできます。次の例は、特定の値をテストする方法を示しています。

次の例に示すように、リクエストヘッダー条件で同じものを使用することもできます。

Reactive スタックに相当する部分を参照

@GetMapping （および @RequestMapping(method=HttpMethod.GET)）は、リクエストマッピングのために HTTP HEAD を透過的にサポートします。コントローラーのメソッドを変更する必要はありません。jakarta.servlet.http.HttpServlet で適用されるレスポンスラッパーは、Content-Length ヘッダーが（実際にレスポンスに書き込まずに）書き込まれたバイト数に設定されるようにします。

@GetMapping （および @RequestMapping(method=HttpMethod.GET)）は、暗黙的に HTTP HEAD にマッピングされ、サポートされます。HTTP HEAD リクエストは、ボディを書き込む代わりにバイト数がカウントされ、Content-Length ヘッダーが設定されることを除いて、HTTP GET であるかのように処理されます。

デフォルトでは、HTTP OPTIONS は、Allow レスポンスヘッダーを、一致する URL パターンを持つすべての @RequestMapping メソッドにリストされている HTTP メソッドのリストに設定することによって処理されます。

HTTP メソッド宣言のない @RequestMapping の場合、Allow ヘッダーは GET,HEAD,POST,PUT,PATCH,DELETE,OPTIONS に設定されます。コントローラーメソッドは、サポートされている HTTP メソッドを常に宣言する必要があります（たとえば、HTTP メソッド固有のバリアント（@GetMapping、@PostMapping など）を使用する）。

@RequestMapping メソッドを明示的に HTTP HEAD および HTTP OPTIONS にマップできますが、これは一般的なケースでは必要ありません。

Reactive スタックに相当する部分を参照

Spring MVC は、リクエストマッピングのための構成済みアノテーションの使用をサポートしています。それらは、それ自体が @RequestMapping でメタアノテーションが付けられたアノテーションであり、@RequestMapping 属性のサブセット (またはすべて) をより狭く、より具体的な目的で再宣言するように構成されています。

@GetMapping、@PostMapping、@PutMapping、@DeleteMapping、@PatchMapping は、構成されたアノテーションの例です。おそらく、ほとんどのコントローラーメソッドは特定の HTTP メソッドにマップする必要があるため、@RequestMapping を使用するのではなく、デフォルトですべての HTTP メソッドに一致するためです。構成されたアノテーションの例が必要な場合は、それらがどのように宣言されているかを確認してください。

Spring MVC は、カスタムリクエストマッチングロジックを使用したカスタムリクエストマッピング属性もサポートしています。これは、RequestMappingHandlerMapping のサブクラス化と getCustomMethodCondition メソッドのオーバーライドを必要とするより高度なオプションであり、カスタム属性をチェックして独自の RequestCondition を返すことができます。

Reactive スタックに相当する部分を参照

ハンドラーメソッドをプログラムで登録できます。これは、動的な登録や、異なる URL での同じハンドラーの異なるインスタンスなどの高度なケースに使用できます。次の例では、ハンドラーメソッドを登録します。