我在Oracle 11gR2数据库上使用Oracle APEX版本4.2.2.00.11。
基本上,对一个应用程序进行了安全评估,该应用程序返回为标记了跨站点请求伪造,并通过外部html文件,其中可以对包含报告的页面进行更改。
更具体地说,外部html文件包含类似于以下内容:
<html>
<body>
<form action="http://example.org" method="POST">
<input type="hidden" name="p_t01" value="I like chocolate" />
<input type="hidden" name="p_t02" value="Apples" />
<input type="submit" value="Submit this" />
</form>
</body>
</html>
假设example.org URL是Oracle APEX URL,当用户按下&#34;提交此&#34;按钮,以下两个值:&#34;我喜欢巧克力&#34;和&#34;苹果&#34;已添加到Oracle APEX应用程序的第300页的报告中。
这是我需要防止发生的事情。
基于此,Oracle APEX是否有任何设施/安全设置来防止这种情况发生,因为我被告知在每个应用程序中与会话相关联的一次性令牌(&#34; nonce&#34;)请求是否需要?
答案 0 :(得分:0)
研究会话状态保护。
你应该能够找到一些关于如何设置它的博客文章,比如这篇文章。
https://oraclemasterminds.blogspot.co.uk/2015/01/session-state-protection-in-apex.html
一般来说,为了防止跨站点伪造请求,您的应用程序将以您发布的形式包含令牌/现时/校验和 - 外部攻击者无法知道此令牌的值。