3 変更された動作

このリリースでは、既存の動作の一部が変更されています。

• リッチ・テキスト・エディタ
  
• 日付ピッカーでサポートされない書式マスク
  
• HTMLサニタイズ
  
• シャトル・アイテム・イベント
  
• 結合されたJavaScriptファイルの変更
  
• 対話モード・レポートのHTML式の置換
  
• アプリケーション・ビルダーのUIの変更
  
• 互換性モード
  
• Oracle Databaseのネットワーク・サービスの有効化
  Oracle APEXでアウトバウンド・メールを送信したり、Webサービスを使用したり、BI PublisherによるテンプレートベースのPDFレポートの出力を使用するには、Oracle Databaseでネットワーク・サービスを有効にする必要があります。

3.1 リッチ・テキスト・エディタ

新しいリッチ・テキスト・エディタのページ・アイテムは、新しいサード・パーティ・ライブラリのTinyMCEに基づくようになりました。APEX 23.1には、TinyMCEバージョン6.3.1の無料エディションが付属しています。

CKEditor5ライブラリに基づく既存のアイテムも引き続き機能します。ただし、これらのアイテムは非推奨であり、将来のリリースで自動的にTinyMCEに変換されます。

新しいアイテム属性の「ライブラリ」を使用して、リッチ・テキスト・エディタで使用するライブラリを選択できます。2つのライブラリはAPI非互換であり、CKEditor5 APIを使用するカスタム・コードは編集が必要であることに注意してください。

3.2 日付ピッカーでサポートされない書式マスク

一部の書式要素は、日付ピッカーでサポートされません。以前は、APEXはこれらの要素のレンダリングを試みていました。現在は、サポートされていない書式マスクによってエラーが発生します。エラーを解決するには、書式マスクを変更します。

書式マスクでサポートされないアイテムには、SSSSS、SYEAR、SYYYY、IYYY、YEAR、IYY、SCC、TZD、TZH、TZM、TZR、AD、BC、CC、EE、FF、FX、IW、IY、RM、TS、WW、E、I、J、Q、WおよびXがあります。

3.3 HTMLサニタイズ

APEX 23.1より前では、次のコンポーネントはクロスサイト・スクリプティング(XSS)のサニタイズを行わずにHTMLを出力します。

• 表示専用ページ・アイテム(形式HTML)
• 対話グリッド - 表示専用列(形式HTML)
• クラシック・レポート - リッチ・テキスト列(形式HTML)
• 対話モード・レポート - リッチ・テキスト列(形式HTML)

コンテンツが安全であることを確認するのは、開発者の責任でした。これは簡単なタスクではありませんでした。

APEX 23.1以降、これらのコンポーネントは、クライアント上のHTMLコンテンツを表示する前に、HTMLコンテンツをサニタイズします。これにより、HTMLベースのリッチ・テキスト・エディタのコンテンツを含む、ユーザーが提供したHTMLを簡単に表示できるようになります。

スクリプト・タグやjavascript:式、onclick属性などの"安全でない" HTMLコンテンツは除去されるため、これらのコンテンツを意図的に表示することはできなくなりました。このようなコンテンツの表示はお薦めしませんが、次の方法を使用して表示することはできます。

• HTML形式の表示専用ページ・アイテムの場合は、「静的コンテンツ」リージョンを使用します
• HTML形式の表示専用対話グリッド列の場合は、HTML式列を使用します
• HTML形式のクラシック・レポート・リッチ・テキスト列の場合は、「特殊文字をエスケープ」が無効になっているプレーン・テキスト列を使用します
• HTML形式の対話モード・レポート・リッチ・テキスト列の場合は、「特殊文字をエスケープ」が無効になっているプレーン・テキスト列を使用します

3.4 シャトル・アイテム・イベント

シャトル・アイテムでは、選択したアイテムの順序が変更されたときに、changeイベントをトリガーするようになりました。シャトル・アイテム値を並べ替えることができる場合は、値の順序が重要です。順序の変更は、changeイベントを正当化する値の変更です。

以前にchangeとshuttlechangeorderの両方の動的アクションまたはイベント・ハンドラを使用していた場合、現在必要なのはchangeハンドラのみです。2つのケースを区別する必要がある場合は、shuttlechangeorderイベントの後にchangeイベントが実行されます。

3.5 結合されたJavaScriptファイルの変更

結合されたJavaScriptファイルinteractiveGrid.min.jsは、以前の結合ファイルの一部のファイルを含むmodelViewBase.min.jsに置き換えられます。ページのカスタム・コードがinteractiveGrid.min.jsに含まれていたモジュールに暗黙的に依存しており、このコードが他の方法ではページにロードされなくなる場合を除き、このことが既存のアプリケーションに影響を与える可能性はほとんどありません。カスタム・コードの問題を回避するには、必ず、コードが依存する個別のファイルを指定します。

3.6 対話モード・レポートのHTML式の置換

対話モード・レポートでは、HTML式でアイテムを置換する際のデフォルトのエスケープ・モードとしてHTMLエスケープが使用されるようになりました。

参照アイテム値を出力しても安全である場合、開発者はRAWエスケープ・モード(&ITEM!RAW.)を使用して、エスケープされていない値の以前の動作をレプリケートできます。

3.7 アプリケーション・ビルダーUIの変更

このリリースでのユーザー・インタフェースの変更点を次に示します。

• 新しい「コピーとしてのページの作成」ボタンのあるページの作成ウィザードから直接、現在のアプリケーションや他のアプリケーションからページのコピーをすばやく作成できます。
• ページ・デザイナの表を選択ダイアログに、データ・ディクショナリからの表のコメントが表示されなくなりました。
• 新しいプラグインを作成する場合、デフォルトのタイプは「アイテム」ではなく「テンプレート・コンポーネント」になりました。
• グローバル・テンプレート・オプションおよびテンプレート・オプション・グループが、編集を容易にするために対話グリッドに表示されるようになりました。
• アプリケーション・ビルダーやSQLワークショップなどのすべての内部アプリケーション(4000-4999)で、簡易URLが使用されるようになりました。これにより将来的に、ビルダーでPWAを有効にできるようになります。

3.8 互換性モード

アプリケーション属性「互換性モード」により、APEXランタイム・エンジンの互換性モードを制御します。特定のランタイム動作は、リリース間で異なります。互換性モード属性を使用して、特定のアプリケーション動作を取得できます。この項では、互換性モードの変更内容をリリース別に示します。すべてのモードでの変更内容は包括的であること、つまり、古いリリースでのすべての変更内容が新しいリリースに含まれることに注意してください。

互換性モードの変更内容(モード4.1)

Oracle Application Expressリリース4.1では、アイテムのソースの列名が無効である場合、ページのレンダリング時にAutomatic DMLフォームによってエラーが生成されます。Oracle Application Expressリリース4.1以前では、アイテムのソースの列名が無効であっても、ページのレンダリング時にエラーが生成されませんでしたが、アイテムのセッション・ステートも設定されませんでした。

また、Oracle Application Expressリリース4.1では、「キャッシュ」および「フレームへの埋込み」という2つの新しいアプリケーション・セキュリティ属性があり、ブラウザ・セキュリティを制御できます。Cache属性を有効にすると、ブラウザでアプリケーションのページ・コンテンツをメモリー内とディスク上の両方のキャッシュに保存できます。Embed in Frames属性は、ブラウザのフレーム内にアプリケーションのページを表示させるかどうかを制御します。4.1より前の互換性モードで実行中のアプリケーションは、キャッシュが有効化され、「フレームへの埋込み」が許可に設定されているかのように機能します。互換性モード4.1以上で実行中のアプリケーションでは、特定のブラウザ・セキュリティ属性が考慮されます。

また、Oracle Application Expressリリース4.1では、Oracle Bug#12990445のため、行の自動処理(DML)のプロセス・タイプに次の変更が実装されました。列をINSERT文に含める必要があるかどうかを判断するように、INSERTを実行するコードが変更されました。これらは、UPDATEの前のチェックと同じチェックであることに注意してください。新しいチェックは次のとおりです。

• ソース・タイプは「DB列」であるか。
• ページ・アイテムはPOSTリクエストに含まれているか。たとえば、ページ・アイテムが条件付きで、ページのレンダリング中に条件がFALSEと評価された場合、POSTリクエストには含まれません。
• ページ・アイテムは、「状態の保存」が「いいえ」に設定されている「表示のみ」タイプでないか。

これらの動作を有効化するには、「互換性モード」を4.1以上に設定します。前のリリースと一致する動作の場合は、「互換性モード」を「4.1前」に設定します。

互換性モードの変更内容(モード4.2)

Oracle Application Expressリリース4.2では、新規グリッド・レイアウトが変更されたため、ページのレンダリング時、特定の表示ポイントのすべてのリージョンが、その表示ポイントのレンダリング前に評価され、そのリージョンを表示するかどうかが特定されます(このため、グリッド・レイアウトでレンダリングする列数を決定できます)。評価の戻り値がtrueのリージョンは実行および表示されます。ただし、PL/SQLベース・リージョンがセッション・ステートを設定し、それがリージョンを表示するかどうかを決定するために後続のリージョン条件で使用されている場合には、これは機能しません。そのような状況の場合、表示ポイントがレンダリングされる前に、条件はすでにチェックされています。計算またはPL/SQLプロセスを使用して、リージョンが表示される前にセッション・ステートを設定します。前のバージョンでは、各リージョンが表示される直前に条件が評価されていました。

Oracle Application Expressリリース4.2では、プロセス・ポイントが「リージョンの前」の計算およびプロセスは、リージョンがレンダリングされる前に実行されます。プロセス・ポイントが「リージョンの後」の計算およびプロセスは、すべてのリージョンのレンダリング後に実行されます。前のバージョンでは、計算およびプロセスは、リージョン表示ポイントの「ページ・テンプレート・ボディ」(1-3)の前後に実行されていました。

Oracle Application Expressパッチ・セット4.2.2では、互換性モード4.2のために2つの新規互換性モード変更が追加されました。

• テキスト領域が、テキスト入力を制限する「最大幅」属性を常に使用するように変更されました。
• レポート列リンクに対してセキュリティが拡張され、リンクにJavaScriptと他のレポート列置換への参照の両方が含まれ、次のようになります。

  javascript:alert( 'Delete #NAME#' );

  前述の例で、NAMEはレポート内の列名です。

Oracle Application Expressリリース4.2.1以前では、クロスサイト・スクリプティングの脆弱性から保護するために、レポート・ソースの列値を明示的にエスケープして、JavaScriptリンクで安全に使用できるようにする必要がありました。互換性モード4.2で実行する場合、列が特殊文字をエスケープするように定義されていると、Oracle Application ExpressはJavaScriptリンクで参照されている列名置換をJavaScriptで自動的にエスケープします。

これを修正するために、Oracleでは、JavaScriptで手作業で記述したエスケープをレポート・ソースから削除し、ネイティブ・エスケープを使用することをお薦めします。

互換性モードの変更内容(モード5.0)

Oracle Application Expressリリース5.0では、#WORKSPACE_IMAGES#を使用して静的アプリケーション・ファイルを参照した場合に、アプリケーション・ファイルが返されなくなりました。かわりに、#APP_IMAGES#を使用します。

wwv_flow_custom_auth_std.logout、wwv_flow_custom_auth_std.logout_then_go_to_page、wwv_flow_custom_auth_std.logout_then_go_to_urlおよびapex_custom_auth.logoutのAPIコールはサポートされなくなり、Oracle Application Expressセッションからログアウトするかわりに実行時エラーが生成されます。apex_authentication.logoutエントリ・ポイントをかわりに使用します。

リリース5.0以前では、データのアップロードを使用する開発者には、日付書式を選択するオプションが提供されていませんでした。かわりに、パーサーがユーザーのエントリに最適な書式を選択していたか、エンド・ユーザーがユーザー独自の書式を入力できました。Oracle Application Expressリリース5.0に含められた新しいアイテムにより、ユーザーは、アプリケーションの日付書式か、ユーザーが入力した書式を選択できます。リリース5.0より前に作成されたアプリケーションにはアイテムがないため、5.0の互換性モードでは、ユーザーがデータを入力したかどうかがチェックされます。データが入力されていない場合は、アプリケーションの日付書式が適用されます。

セッション・タイムアウトが発生し、タイムアウトURLが指定されていない場合、Oracle Application Expressはアプリケーションのホームページにリダイレクトするかわりにエラーを生成します。Ajaxリクエストのセッション設定が失敗した場合も、Oracle Application Expressはエラーを生成します。JSONを想定するAjaxリクエストの場合、応答は、エラーについて説明するメンバーを含むJSON文字列となります。他のリクエストの場合、エラーはエラー・ページに表示されます。

属性「使用されるソース」が「セッション・ステートの値がNULLの場合のみ」に設定されているデータベース列に基づくページ・アイテムは、そのページ・アイテムがレンダリングされるとエラーを生成します。複数のレコードを表示および保存する場合、この設定をデータベース列に使用することは非常に危険であり、誤ってデータを上書きする可能性があります。常に「使用されるソース」属性を「セッション・ステートの既存の値を常に置換」に設定してください。

互換性モードの変更内容(モード5.1/18.1/18.2)

Oracle Application Expressリリース18.1では、「検証の実行」属性が「はい」に設定されているボタンをクリックすると、クライアント側の検証(必須アイテム・チェックなど)がいくつか実行され、すべての問題を修正するまでページは送信されません。以前のバージョンでは、このフラグは単にサーバー側の検証を実行するかどうかを決定するために使用されていました。

ヒント:

互換性モードを5.1/18.1/18.2に変更するときには注意してください。「取消」、「前へ」などのボタンで、「検証の実行」フラグが「はい」に誤って設定されており、「送信後」ブランチを使用している場合、このようなボタンをユーザーがクリックしても検証が実行されることはありません。この問題に対処するには、新しいクライアント側の検証を使用するか、「検証の実行」を「いいえ」に設定します。

リリース5.1では、「結果を待機」属性が「はい」に設定されているAjaxベースの動的アクションによって、非同期Ajaxコールが実行されます。5.1より前では、そのようなコールは同期的に行われます。

互換性モードの変更内容(モード19.1)

Oracle Application Express 19.1では、リッチ・テキスト・エディタによって、Max Lengthアイテム属性の検証が強制されます。HTMLマークアップの長さがMax Length値を超えると、エラー・メッセージが生成されます。

互換性モードの変更内容(モード19.2/20.1/20.2/21.1)

Oracle Application Express 19.2の「クラシック・レポート」では、空の列値は、改行なしの空白文字( )を使用するのではなく空のセルとしてレンダリングされます。

互換性モードの変更内容(モード21.2/22.1/22.2/23.1)

Oracle Application Express 21.2より前では、追加されたエラーに関係なく、現在の処理ポイントのすべてのプロセスが実行されていました。

Oracle Application Express 21.2では、プロセスでAPEX_ERROR.ADD_ERRORをコールすると、それ以降のプロセスの実行が停止し、インライン・エラーが即時に表示されます。

3.9 Oracle Databaseのネットワーク・サービスの有効化

Oracle APEXでアウトバウンド・メールの送信、Webサービスの使用、またはBI PublisherによるテンプレートベースのPDFレポートの出力を実行するには、Oracle Databaseでネットワーク・サービスを有効にする必要があります。

ノート:

次の内容は、Oracle Autonomous Databaseで実行されているAPEXインスタンスには適用されません。APEXは、追加の構成なしでインターネット経由で外部エンドポイントと通信できます。

• ネットワーク・サービスを有効化する場合と理由
  ネットワーク・サービスを有効化すると、Oracle APEXでのアウトバウンド・メールの送信、RESTサービス、REST対応SQLまたはその他のWebサービスの使用、レポート印刷用のリモート・サーバーの使用のサポートが有効になります。
• 接続権限の付与
  
• 無効なACLエラーのトラブルシューティング
  問合せを実行して、無効なACLエラーがある場合に特定する方法を理解します。

3.9.1 ネットワーク・サービスを有効化する場合と理由

ネットワーク・サービスを有効化すると、Oracle APEXでのアウトバウンド・メールの送信、RESTサービス、REST対応SQLまたはその他のWebサービスの使用、レポート印刷用のリモート・サーバーの使用のサポートが有効になります。

デフォルトでは、Oracle Databaseでのネットワーク・サービスとの通信機能は無効化されています。そのため、DBMS_NETWORK_ACL_ADMINパッケージを使用して、APEX_230100データベース・ユーザーにネットワーク接続権限を付与する必要があります。これらの権限の付与に失敗すると、次の場合に問題が発生します。

• Oracle APEXでアウトバウンド・メールを送信する。

  ユーザーは、APEX_MAILパッケージのメソッドをコールできますが、アウトバウンド電子メールの送信時に問題が発生します。

• APEXからのRESTサービスおよびその他のWebサービスの使用。
• APEXからアウトバウンドLDAPコールを実行する。
• レポート印刷用のリモート印刷サーバーの使用。

ノート:

APEXをアップグレードすると、以前のAPEXバージョンの構成に基づいてネットワーク・サービスが自動的に構成されます。

ヒント:

この項で示されている例を実行するには、データベースのcompatible初期化パラメータが11.1.0.0.0以上に設定されている必要があります。パラメータはデフォルトで適切に設定されますが、11gより前のバージョンからアップグレードされたデータベースの場合は、更新が必要なことがあります。データベース初期化パラメータの変更の詳細は、Oracle Multitenant管理者ガイドのデータベースの互換性レベルの指定を参照してください。

関連項目:

Oracle APEXアプリケーション・ビルダー・ユーザーズ・ガイドのレポートの印刷について

3.9.2 接続権限の付与

次の例では、APEX_230100データベース・ユーザーに対して任意のホストへの接続権限を付与する方法を示します。この例では、Oracle APEXがインストールされているデータベースに、SYSDBAロールが指定されたSYSとして接続していると想定しています。

BEGIN
    DBMS_NETWORK_ACL_ADMIN.APPEND_HOST_ACE(
        host => '*',
        ace => xs$ace_type(privilege_list => xs$name_list('connect'),
                           principal_name => 'APEX_230100',
                           principal_type => xs_acl.ptype_db));
END;
/

次の例は、ローカル・ネットワーク・リソースへのアクセス権について、より少ない権限を付与する方法を示しています。この例では、電子メール・サーバーやレポート・サーバーなど、ローカル・ホストのサーバーへのアクセスのみを有効にします。

BEGIN
    DBMS_NETWORK_ACL_ADMIN.APPEND_HOST_ACE(
        host => 'localhost',
        ace => xs$ace_type(privilege_list => xs$name_list('connect'),
                           principal_name => 'APEX_230100',
                           principal_type => xs_acl.ptype_db));
END;
/

3.9.3 無効なACLエラーのトラブルシューティング

問合せを実行して、無効なACLエラーがある場合に特定する方法を学習します。

前述のスクリプトを実行した後にORA-44416: 無効なACLのエラーが表示された場合は、次の問合せを使用して、無効なACLを特定します。

REM Show the dangling references to dropped users in the ACL that is assigned
REM to '*'.

SELECT ACL, PRINCIPAL
  FROM DBA_NETWORK_ACLS NACL, XDS_ACE ACE
 WHERE HOST = '*' AND LOWER_PORT IS NULL AND UPPER_PORT IS NULL AND
       NACL.ACLID = ACE.ACLID AND
       NOT EXISTS (SELECT NULL FROM ALL_USERS WHERE USERNAME = PRINCIPAL);

次に、次のコードを実行してACLを修正します。

DECLARE
  ACL_ID   RAW(16);
  CNT      NUMBER;
BEGIN
  -- Look for the object ID of the ACL currently assigned to '*'
  SELECT ACLID INTO ACL_ID FROM DBA_NETWORK_ACLS
   WHERE HOST = '*' AND LOWER_PORT IS NULL AND UPPER_PORT IS NULL;

  -- If just some users referenced in the ACL are invalid, remove just those
  -- users in the ACL. Otherwise, drop the ACL completely.
  SELECT COUNT(PRINCIPAL) INTO CNT FROM XDS_ACE
   WHERE ACLID = ACL_ID AND
         EXISTS (SELECT NULL FROM ALL_USERS WHERE USERNAME = PRINCIPAL);

  IF (CNT > 0) THEN

    FOR R IN (SELECT PRINCIPAL FROM XDS_ACE
               WHERE ACLID = ACL_ID AND
                     NOT EXISTS (SELECT NULL FROM ALL_USERS
                                  WHERE USERNAME = PRINCIPAL)) LOOP
      UPDATE XDB.XDB$ACL
         SET OBJECT_VALUE =
               DELETEXML(OBJECT_VALUE,
                         '/ACL/ACE[PRINCIPAL="'||R.PRINCIPAL||'"]')
       WHERE OBJECT_ID = ACL_ID;
    END LOOP;

  ELSE
    DELETE FROM XDB.XDB$ACL WHERE OBJECT_ID = ACL_ID;
  END IF;

END;
/

REM commit the changes.

COMMIT;

ACLを修正した後は、この項の最初のスクリプトを実行してAPEX_230100ユーザーにそのACLを適用する必要があります。