Windchill 跨站请求伪造防范
Windchill 10.0 M010 中,为大多数数据更改操作添加了跨站请求伪造 (CSRF) 防范支持。其余操作在 Windchill 10.0 M020 中实现。
Windchill 实施的解决方案是在建立会话时为每个用户生成唯一令牌。此唯一令牌又称为随机数令牌,缓存在用户会话中。每次服务器针对此会话生成数据更改 URL 时,服务器都将随机数令牌包含在名为 CSRF_NONCE 的表单隐藏字段中。当用户为此操作提交表单时,会将此隐藏字段发送回服务器,然后可以将请求中的随机数令牌与会话中的随机数令牌进行比较。如果随机数令牌丢失或不匹配,则拒绝请求并显示以下错误:A potential security problem was detected. Refresh the page and try again. If the problem persists, contact your administrator. 此外,也会将检测到的潜在 CSRF 攻击事件记录在审计日志中。
这对您有帮助吗?