Windchill でのクロスサイトリクエストフォージェリの予防
Windchill 10.0 M010 では、ほとんどのデータ改変操作に対して、クロスサイトリクエストフォージェリ (CSRF) の予防機能が追加されました。残りの操作は Windchill 10.0 M020 で実装されています。
Windchill によって実装された解決策により、セッションを確立する際にユーザーごとに一意のトークンが生成されます。この一意のトークンは nonce と呼ばれ、ユーザーセッションに保存されています。このセッションのサーバーはデータを改変する URL を生成するたびに、CSRF_NONCE という非表示フォームフィールドに nonce を含めます。ユーザーが操作のフォームを送信すると、この非表示フィールドがサーバーに送り返され、リクエストの nonce とセッションの nonce が比較されます。nonce が見つからない場合や一致しない場合、A potential security problem was detected. Refresh the page and try again. If the problem persists, contact your administrator. というエラーでリクエストが却下されます。監査ログには、潜在的な CSRF 攻撃として検知されたイベントも記録されます。
これは役に立ちましたか?