デプロイメント固有ページに関するガイドライン
デプロイメント固有ページを実装する場合は、次のガイドラインに従ってください。
-
ログイン・ページとパスワード変更ページは、SSLで保護することをお薦めします。
-
ログイン・ページとパスワード変更ページでは、クロスサイト・スクリプティング攻撃に備えてコーディングする必要があります。
-
ログイン・ページとパスワード変更ページでは、自動埋込みとキャッシュを
off
に設定する必要があります。これにより、ユーザーの資格証明がブラウザに保存されたり、キャッシュされる恐れはなくなります。AutoComplete
タグの例を次に示します。<FORM NAME="foo" AutoComplete="off" METHOD="POST" ACTION="bar">
-
オラクル社では、無認可のアクセスに対して警告するバナーを表示するように、ログイン・ページを構成することをお薦めします。たとえば、次のような文章を使用できます。
Unauthorized use of this site is prohibited and may subject you to civil and criminal prosecution.
-
シングル・サインオン・サーバーをホスティングするコンピュータに、ログイン・ページおよびパスワード変更ページをデプロイします。これにより、これらのページの不正なバージョンを簡単に検出できます。