1. 管理ガイド
  2. Oracle Application Express管理サービス
  3. 既存のワークスペースの管理
  4. ブラウザ攻撃を防ぐためのワークスペースの分離

3.15.8 ブラウザ攻撃を防ぐためのワークスペースの分離

インスタンス管理者は、ワークスペースを分離する制限を構成してブラウザ攻撃を防ぐことができます。

参照:

親トピック: 既存のワークスペースの管理

3.15.8.1 ブラウザ攻撃を防ぐためのワークスペースの分離の概要

ワークスペースの分離は、ブラウザ攻撃を防ぐ効果的な方法です。

ワークスペースを真に分離する唯一の方法は、「ホスト名の許可」属性を構成してURLで異なるドメインを適用することです。攻撃者と攻撃を受ける側のURLでドメインとホスト名が異なる場合、ブラウザの同一起点ポリシーによって攻撃が回避されます。

親トピック: ブラウザ攻撃を防ぐためのワークスペースの分離

3.15.8.2 「ワークスペースの分離」属性の構成

「ワークスペースの分離」属性を構成します。

「ワークスペースの分離」属性を構成するには、次の手順を実行します。

  1. 既存のワークスペースを表示します。
    1. Oracle Application Express管理サービスにサインインします。
    2. 「ワークスペースの管理」をクリックします。
    3. 「ワークスペース・レポート」で、「既存のワークスペース」をクリックします。
    4. ワークスペース名をクリックします。
    情報の編集ページが表示されます。
  2. 「ワークスペースの分離」に移動し、次の表の説明に従って属性を編集します。

    ヒント:

    属性の詳細および例を確認するには、フィールドレベル・ヘルプを参照してください。

    表3-5 「ワークスペースの分離」属性

    属性 説明

    ホスト名の許可

    このワークスペースへのアクセスに使用できるホスト名のリストを、カンマ区切りで入力します。この属性を空のままにすると、インスタンスレベルの値が適用されます。1つ以上のホスト名を入力する場合、受信するHTTPリクエストURLのホスト名部分が、リストのホスト名のいずれかに一致する必要があります。

    詳細は、フィールドレベル・ヘルプを参照してください。

    リソース・コンシューマ・グループ

    このワークスペースに関連付けられたすべてのページ・イベントで使用されるデータベース・リソース・マネージャのコンシューマ・グループを指定します。この属性を空のままにすると、インスタンスレベルの値が適用されます。リクエストごとの最初に、Application Expressエンジンによって現在のデータベース・セッションの現在のコンシューマ・グループが、ワークスペースのコンシューマ・グループに切り替えられます。これは、実行中のアプリケーションにも、Application Express開発環境内で使用されるアプリケーションにも適用されます。

    PUBLICまたはApplication Expressスキーマに、このコンシューマ・グループに切り替える権限を付与する必要があります。この権限は通常、DBMS_RESOURCE_MANAGER_PRIVS.GRANT_SWITCH_CONSUMER_GROUPのプロシージャを使用して付与されます。

    最大同時ワークスペース・リクエスト数

    このワークスペースのすべてのアプリケーションについてOracle Application Expressがサポートする同時ページ・イベントの最大数を入力します。この属性を空のままにすると、インスタンスレベルの値が適用されます。制限に達したとき、ページ・イベントを処理するかわりにApplication Expressにエラー・メッセージが表示されます。

    Application Expressは、GV$SESSIONCLIENT_INFO列を問い合せることによってセッション・リクエストを追跡します。この追跡は、DBMS_APPLICATION_INFO.SET_CLIENT_INFOの呼出しのように、開発者がCLIENT_INFOを上書きする場合には動作しません。

    最大同時セッション・リクエスト数

    このワークスペースのアプリケーションのセッションごとにOracle Application Expressがサポートする同時ページ・イベントの最大数を入力します。制限に達したとき、新しいページ・イベントを処理するかわりにApplication Expressにエラー・メッセージが表示されます。あるいは、「同時セッション・リクエスト中断タイムアウト」属性を使用してアクティブなデータベース・セッションを停止し、新しいページ・イベントを処理します。

    Application Expressは、GV$SESSIONCLIENT_IDENTIFIER列を問い合せることによってセッション・リクエストを追跡します。この追跡は、DBMS_SESSION.SET_IDENTIFIERの呼出しのように、開発者がCLIENT_IDENTIFIERを上書きする場合には動作しません。

    同時セッション・リクエスト中断タイムアウト

    「最大同時セッション・リクエスト数」の制限を超える新しいページ・イベントが発生した場合、Application ExpressはこのApplication Expressセッションで他のページ・イベントを処理する最も古いアクティブなデータベース・セッションに対してalter system kill sessionを実行できます。この属性には、データベース・プロセスが中断されるまでアクティブでなければならない時間を秒単位で指定します。この属性を空のままにすると、インスタンスレベルの値が適用されます。

    警告: セッションを中断すると、アプリケーション・サーバーのデータベース・セッション・プールで問題が発生することがあります。

    ワークスペース内のファイルの最大サイズ

    このワークスペースにアップロードできるすべてのファイルの合計サイズ(バイト単位)を入力します。

    最大電子メール・メッセージ

    24時間ごとにAPEX_MAIL APIで送信できる電子メール・メッセージの最大数を入力します。

    この値は、インスタンスレベルの設定をオーバーライドします。

    最大Webサービス・リクエスト

    24時間ごとに送信できるWebサービス・リクエストの最大数を入力します。

    コンテンツ・キャッシュのターゲット・サイズ

    ワークスペースレベルでコンテンツ・キャッシュのターゲット・サイズを示します。

    この値は、インスタンスレベルの設定をオーバーライドします。

    コンテンツ・キャッシュの最大エントリ・サイズ

    コンテンツ・キャッシュに配置されるコンテンツの最大サイズを示します。

    この値は、インスタンスレベルの設定をオーバーライドします。
  3. 「変更の適用」をクリックします。

親トピック: ブラウザ攻撃を防ぐためのワークスペースの分離