20.2.5 URL改ざんの防止
セッション・ステート保護は、ハッカーがアプリケーション内のURLを改ざんするのを防ぐための組込み機能です。URL改ざんにより、プログラム・ロジック、セッション・ステートの内容および情報プライバシが悪影響を受ける可能性があります。
20.2.5.1 セッション・ステート保護の仕組み
セッション・ステート保護は2ステップのプロセスで有効にします。最初に、「共有コンポーネント」の「セッション・ステート保護」機能を有効にします。次に、ページおよびアイテムのセキュリティ属性を設定します。これらのステップは、ウィザードを使用して実行するか、セッション・ステート保護ページでページおよびアイテムのセキュリティ属性を手動で設定して行います。
セッション・ステート保護を有効にすると、「ページ・アクセス保護」と「セッション・ステート保護」項目属性が、f?p=
URL内に配置されたチェックサムとともに使用され、URL改ざんと、セッション・ステートに対する権限のないアクセスおよび変更が防止されます。セッション・ステート保護を無効にすると、セッション・ステート保護に関連するページ属性および項目属性が無視され、生成されるf?p=
URLにはチェックサムが含まれません。
親トピック: URL改ざんの防止
20.2.5.2 セッション・ステート保護の有効化
セッション・ステート保護を有効にするには:
ヒント:
セッション・ステート保護を無効にするには、同じステップを実行しますが、「有効化」のかわりに「無効化」を選択します。セッション・ステート保護を無効にしても、既存のセキュリティ属性の設定は変更されませんが、それらの属性は実行時に無視されます。
親トピック: URL改ざんの防止
20.2.5.3 セッション・ステート保護の構成
ヒント:
セキュリティ属性を構成する前に、まずセッション・ステート保護を有効にする必要があります。セッション・ステート保護の有効化を参照してください。
- セッション・ステート保護の構成について
- 既存のセッション・ステート保護設定の確認
- ウィザードを使用したセッション・ステート保護の構成
- ページのセッション・ステート保護の構成
- ページ・アイテムのセッション・ステート保護の構成
- アプリケーション・アイテムのセッション・ステート保護の構成
親トピック: URL改ざんの防止
20.2.5.3.1 セッション・ステート保護の構成について
セッション・ステート保護を有効にしたら、次のステップは、セキュリティ属性を構成します。セキュリティ属性は2つの方法で構成できます。
-
ウィザードを使用し、特定の属性カテゴリの値を選択する。この場合、選択内容がアプリケーション内のすべてのページおよびアイテムに適用されます。
-
個々のページ、アイテムまたはアプリケーション・アイテムの値を構成する。
親トピック: セッション・ステート保護の構成
20.2.5.3.2 既存のセッション・ステート保護設定の確認
既存のセッション・ステート保護設定のサマリーを表示するには:
- 「セッション・ステート保護」ページにナビゲートします。
- 「保護の設定」をクリックします。
- ページの下部にある次のリージョンを展開して確認します。
- ページ・レベルのセッション・ステート保護サマリー
- ページ・アイテムのセッション・ステート保護サマリー
- アプリケーション・アイテムのセッション・ステート保護
親トピック: セッション・ステート保護の構成
20.2.5.3.3 ウィザードを使用したセッション・ステート保護の構成
ウィザードを使用してセッション・ステート保護を構成するには:
親トピック: セッション・ステート保護の構成