Windchill でのクロスサイトリクエストフォージェリの予防
Windchill によって実装された解決策により、セッションを確立する際にユーザーごとに一意のトークンが生成されます。この一意のトークンは nonce と呼ばれ、ユーザーセッションに保存されています。このセッションのサーバーはデータを改変する URL を生成するたびに、CSRF_NONCE という非表示フォームフィールドに nonce を含めます。ユーザーが操作のフォームを送信すると、この非表示フィールドがサーバーに送り返され、リクエストの nonce とセッションの nonce が比較されます。nonce が見つからない場合や一致しない場合、A potential security problem was detected. Refresh the page and try again. If the problem persists, contact your administrator. というエラーでリクエストが却下されます。監査ログには、潜在的な CSRF 攻撃として検知されたイベントも記録されます。
これは役に立ちましたか?