4.11. ファイルダウンロード¶
目次
4.11.1. Overview¶
Note
コントローラクラスで、ファイルレンダリングのロジックを持たせることは推奨しない。
理由としては、コントローラの役割から逸脱するためである。 また、コントローラから分離することで、Viewの入れ替えが、容易にできる。
ファイルのダウンロード処理の概要を、以下に示す。
- DispatchServletは、コントローラへファイルダウンロードのリクエストを送信する。
- コントローラは、ファイル表示の情報を取得する。
- コントローラは、Viewを選択する。
- ファイルレンダリングは、Viewで行われる。
org.springframework.web.servlet.View
インタフェースを提供している。org.springframework.web.servlet.view.document.AbstractPdfView
org.springframework.web.servlet.view.document.AbstractXlsxView
org.terasoluna.gfw.web.download.AbstractFileDownloadView
は、Tip
ファイルダウンロード機能を提供する際には、ディレクトリトラバーサル攻撃への対策が必要な場合がある。 ディレクトリトラバーサル攻撃については、ディレクトリトラバーサル攻撃 を参照すること。
4.11.2. How to use¶
4.11.2.1. PDFファイルのダウンロード¶
org.springframework.web.servlet.view.document.AbstractPdfView
を継承したクラスを作成する必要がある。4.11.2.1.1. カスタムViewの実装¶
AbstractPdfViewを継承したクラスの実装例
@Component // (1)
public class SamplePdfView extends AbstractPdfView { // (2)
@Override
protected void buildPdfDocument(Map<String, Object> model,
Document document, PdfWriter writer, HttpServletRequest request,
HttpServletResponse response) throws Exception { // (3)
document.add(new Paragraph((Date) model.get("serverTime")).toString());
}
}
項番 | 説明 |
---|---|
(1)
|
本例では、
@Component アノテーションを使用して、component-scanの対象としている。後述する、
org.springframework.web.servlet.view.BeanNameViewResolver の対象とすることができる。 |
(2)
|
AbstractPdfView を継承する。 |
(3)
|
buildPdfDocument メソッドを実装する。 |
Warning
iText 2.1.7に存在するXXE (XML External Entity) 脆弱性について
Macchinetta Server Framework for Java 1.5.2.RELEASEでサポートしているiText 2.1.7では、 外部から取得したXMLを読み込んでPDFを作成するような実装を行っている場合、CVE-2017-9096で報告されている脆弱性が発生する可能性がある。
AbstractPdfView
は、PDFのレンダリングに、iTextを利用している。<dependencies>
<!-- omitted -->
<dependency>
<groupId>com.lowagie</groupId>
<artifactId>itext</artifactId>
</dependency>
</dependencies>
Note
上記設定例は、依存ライブラリのバージョンを親プロジェクトである terasoluna-gfw-parent で管理する前提であるため、pom.xmlでのバージョンの指定は不要である。 上記のitextはterasoluna-gfw-parentが利用しているSpring IO Platformで定義済みである。
4.11.2.1.2. ViewResolverの定義¶
org.springframework.web.servlet.view.BeanNameViewResolver
とは、
Springのコンテキストで管理されたbean名を用いて実行するViewを選択するクラスである。
BeanNameViewResolver
を使用する際は、通常使用するThymeleaf用のViewResolver
(ThymeleafViewResolver
)より先にBeanNameViewResolver
が実行されるように定義する事を推奨する。
Note
Spring FrameworkはさまざまなViewResolver
を提供しており、複数のViewResolver
をチェーンすることができる。
そのため、特定の状況では、意図しないViewが選択されてしまうことがある。
この動作は、<mvc:view-resolvers>
要素の子要素に、優先したいViewResolver
を上から順に定義する事で防ぐことができる。
bean定義ファイル
<mvc:view-resolvers>
<mvc:bean-name /> <!-- (1) (2) -->
<bean class="org.thymeleaf.spring4.view.ThymeleafViewResolver">
<!-- omitted -->
</bean>
</mvc:view-resolvers>
項番 | 説明 |
---|---|
(1)
|
<mvc:bean-name> 要素を使用して、BeanNameViewResolver を定義する。 |
(2)
|
<mvc:bean-name> 要素を先頭に定義し、通常使用するViewResolver (Thymeleaf用のViewResolver )より優先度を高くする。 |
4.11.2.1.3. コントローラでのViewの指定¶
BeanNameViewResolver
により、コントローラで”samplePdfView”を返却することで、Javaソースコード
@RequestMapping(value = "home", params= "pdf", method = RequestMethod.GET)
public String homePdf(Model model) {
model.addAttribute("serverTime", new Date());
return "samplePdfView"; // (1)
}
項番 | 説明 |
---|---|
(1)
|
“samplePdfView” をメソッドの戻り値として返却することで、
Springのコンテキストで管理された、
SamplePdfView クラスが実行される。 |
4.11.2.2. Excelファイルのダウンロード¶
org.springframework.web.servlet.view.document.AbstractXlsxView
を継承したクラスを作成する必要がある。4.11.2.2.1. カスタムViewの実装¶
AbstractXlsxViewを継承したクラスの実装例
@Component // (1)
public class SampleExcelView extends AbstractXlsxView { // (2)
@Override
protected void buildExcelDocument(Map<String, Object> model,
Workbook workbook, HttpServletRequest request,
HttpServletResponse response) throws Exception { // (3)
Sheet sheet;
Cell cell;
sheet = workbook.createSheet("Spring");
sheet.setDefaultColumnWidth(12);
// write a text at A1
cell = getCell(sheet, 0, 0);
setText(cell, "Spring-Excel test");
cell = getCell(sheet, 2, 0);
setText(cell, ((Date) model.get("serverTime")).toString());
}
private Cell getCell(Sheet sheet, int rowNumber, int cellNumber) {
Row row = sheet.createRow(rowNumber);
return row.createCell(cellNumber);
}
private void setText(Cell cell, String text) {
cell.setCellValue(text);
}
}
項番 | 説明 |
---|---|
(1)
|
本例では、
@Component アノテーションを使用して、component-scanの対象としている。前述した、
org.springframework.web.servlet.view.BeanNameViewResolver の対象とすることができる。 |
(2)
|
AbstractXlsxView を継承する。 |
(3)
|
buildExcelDocument メソッドを実装する。 |
AbstractXlsxView
は、EXCELのレンダリングに、Apache POIを利用している。<dependencies>
<!-- omitted -->
<dependency>
<groupId>org.apache.poi</groupId>
<artifactId>poi-ooxml</artifactId>
<exclusions>
<exclusion>
<groupId>stax</groupId>
<artifactId>stax-api</artifactId>
</exclusion>
</exclusions>
</dependency>
</dependencies>
Note
poi-ooxmlが依存しているstax-apiはJava SEより標準で提供されるようになったため、不要なライブラリである。また、ライブラリの競合が発生する可能性があることから、
<exclusions>
要素を追加し、当該ライブラリがアプリケーションに含まれないよう考慮する必要がある。
Note
上記設定例は、依存ライブラリのバージョンを親プロジェクトである terasoluna-gfw-parent で管理する前提であるため、pom.xmlでのバージョンの指定は不要である。 上記の依存ライブラリはterasoluna-gfw-parentが利用しているSpring IO Platformで定義済みである。
Note
AbstractExcelView
はSpring Framework 4.2から非推奨となった。そのため、xlsファイル形式をサポートしたい場合はAbstractXlsView
を使用されたい。 詳細は、AbstractXlsViewのJavaDocを参照されたい。
4.11.2.2.2. ViewResolverの定義¶
設定は、PDFファイルをレンダリングする場合と同様である。詳しくは、ViewResolverの定義を参照されたい。
4.11.2.2.3. コントローラでのViewの指定¶
BeanNameViewResolver
により、コントローラで”sampleExcelView”を返却することで、Javaソース
@RequestMapping(value = "home", params= "excel", method = RequestMethod.GET)
public String homeExcel(Model model) {
model.addAttribute("serverTime", new Date());
return "sampleExcelView"; // (1)
}
項番 | 説明 |
---|---|
(1)
|
“sampleExcelView” をメソッドの戻り値として返却することで、
Springのコンテキストで管理された、
SampleExcelView クラスが実行される。 |
4.11.2.3. 任意のファイルのダウンロード¶
org.terasoluna.gfw.web.download.AbstractFileDownloadView
を継承したクラスを実装すればよい。AbstractFileDownloadView
では、以下を実装する必要がある。- レスポンスボディへの書き込むためのInputStreamを取得する。
- HTTPヘッダに情報を設定する。
4.11.2.3.1. カスタムViewの実装¶
AbstractFileDownloadViewを継承したクラスの実装例
@Component // (1)
public class TextFileDownloadView extends AbstractFileDownloadView { // (2)
@Override
protected InputStream getInputStream(Map<String, Object> model,
HttpServletRequest request) throws IOException { // (3)
Resource resource = new ClassPathResource("abc.txt");
return resource.getInputStream();
}
@Override
protected void addResponseHeader(Map<String, Object> model,
HttpServletRequest request, HttpServletResponse response) { // (4)
response.setHeader("Content-Disposition",
"attachment; filename=abc.txt");
response.setContentType("text/plain");
}
}
項番 | 説明 |
---|---|
(1)
|
本例では、
@Component アノテーションを使用して、component-scanの対象としている。前述した、
org.springframework.web.servlet.view.BeanNameViewResolver の対象とすることができる。 |
(2)
|
AbstractFileDownloadView を継承する。 |
(3)
|
getInputStream メソッドを実装する。ダウンロード対象の、
InputStream を返却すること。 |
(4)
|
addResponseHeaderメソッド を実装する。ダウンロードするファイルに合わせた、 Content-Dispositionや、ContentTypeを設定する。
|
4.11.2.3.2. ViewResolverの定義¶
設定は、PDFファイルをレンダリングする場合と同様である。詳しくは、ViewResolverの定義を参照されたい。
4.11.2.3.3. コントローラでのViewの指定¶
BeanNameViewResolver
により、コントローラで”textFileDownloadView”を返却することで、Javaソース
@RequestMapping(value = "download", method = RequestMethod.GET)
public String download() {
return "textFileDownloadView"; // (1)
}
項番 | 説明 |
---|---|
(1)
|
“textFileDownloadView” をメソッドの戻り値として返却することで、
Springのコンテキストで管理された、
TextFileDownloadView クラスが実行される。 |
Tip
前述してきたように、SpringはModelの情報をいろいろなViewにレンダリングすることができる。 Springでは、Jasper Reportsのようなレンダリングエンジンをサポートし、さまざまなViewを返却することも可能である。 詳細は、Spring の公式ドキュメントSpring referenceを参照されたい。