Oracle11g Oracle APEX中如何防止跨站点请求伪造

Oracle11g Oracle APEX中如何防止跨站点请求伪造,oracle11g,xss,oracle-apex,Oracle11g,Xss,Oracle Apex,我在Oracle 11gR2数据库上使用Oracle APEX版本4.2.2.00.11 基本上,对一个应用程序进行了安全评估,该应用程序被标记为跨站点请求伪造,并通过一个外部html文件,在该文件中可以对带有报告的页面进行更改 更具体地说,外部html文件包含类似以下内容: <html> <body> <form action="http://example.org" method="POST"> <input type="hidden" name="

我在Oracle 11gR2数据库上使用Oracle APEX版本4.2.2.00.11

基本上,对一个应用程序进行了安全评估,该应用程序被标记为跨站点请求伪造,并通过一个外部html文件,在该文件中可以对带有报告的页面进行更改

更具体地说,外部html文件包含类似以下内容:

<html>
<body>
<form action="http://example.org" method="POST">
<input type="hidden" name="p&#95;t01" value="I like chocolate" />
<input type="hidden" name="p&#95;t02" value="Apples" />
<input type="submit" value="Submit this" />
</form>
</body>
</html>

假设example.org URL是Oracle APEX URL,当用户按下“提交此”按钮时,以下两个值:“我喜欢巧克力”和“苹果”将添加到Oracle APEX应用程序第300页的报告中

我需要防止这种情况发生


基于此,Oracle APEX是否有任何设施/安全设置来防止这种情况发生,因为我被告知在每个应用程序请求中都需要与会话关联的一次性令牌(“nonce”)?

查看会话状态保护

你应该可以找到一些关于如何设置的博客文章,比如这篇


一般来说,为了防止跨站点伪造请求,您的应用程序会在您发布的表单中包含一个令牌/nonce/校验和-外部攻击者无法知道此令牌的价值。

您能提供有关您案例的任何详细信息吗?@Typo请参阅上面的更新信息。