1. Oracle Access Managementでのアプリケーションの開発
  2. 付録
  3. デプロイメント固有ページの作成
  4. デプロイメント固有ページに関するガイドライン

デプロイメント固有ページに関するガイドライン

デプロイメント固有ページを実装する場合は、次のガイドラインに従ってください。

  • ログイン・ページとパスワード変更ページは、SSLで保護することをお薦めします。

  • ログイン・ページとパスワード変更ページでは、クロスサイト・スクリプティング攻撃に備えてコーディングする必要があります。

  • ログイン・ページとパスワード変更ページでは、自動埋込みとキャッシュをoffに設定する必要があります。これにより、ユーザーの資格証明がブラウザに保存されたり、キャッシュされる恐れはなくなります。AutoCompleteタグの例を次に示します。 

    <FORM NAME="foo" AutoComplete="off" METHOD="POST" ACTION="bar">

  • オラクル社では、無認可のアクセスに対して警告するバナーを表示するように、ログイン・ページを構成することをお薦めします。たとえば、次のような文章を使用できます。 

    Unauthorized use of this site is prohibited and may subject you to civil and criminal prosecution.

  • シングル・サインオン・サーバーをホスティングするコンピュータに、ログイン・ページおよびパスワード変更ページをデプロイします。これにより、これらのページの不正なバージョンを簡単に検出できます。