B.1 クロス・サイト・リクエスト・フォージェリ

クライアント側攻撃を回避する方法を学習します。

Oracle GoldenGateには、サーバーの構成で制御されるCSRF軽減サポートが含まれています。デフォルトの構成では、CSRFトークン・ベースの保護が強制的に適用されます。

クロス・サイト・リクエスト・フォージェリ(CSRF)保護は、有効になっている場合は、スクリプトまたはプログラムのインタフェースが発生源となる、Webブラウザから発行されたリクエストに適用されます。CSRF保護は、オリジン・サーバーでリソースを変更しようとするリクエストに対してのみチェックされます。これは、PUT、POSTおよびDELETEのみが、CSRF保護が強制される(有効になっている場合)HTTPリクエスト動詞であるということです。

CSRF保護は、CSRFが有効になっているかどうかに関係なく、curl、wgetまたはnetcatなどの、ブラウザ以外のクライアントから発行されたリクエストに対しては強制されません。Admin Clientからのリクエストに対してもCSRFは強制されません。これらのクライアントはWebブラウザではないためです。

詳細は、「オープンWebアプリケーション・セキュリティ・プロジェクト」のクロスサイト・リクエスト・フォージェリ(CSRF)のページを参照してください。