Adobe Connect アカウントセキュリティの拡張

Adobe Connect Central ページで、管理／アカウント／詳細設定をクリックします。

CSRF 設定のセクションで「XML API の CSRF 保護を有効にする」オプションをオンにします。

注意：Adobe Connect 11.4 が以前のバージョンのパッチとしてインストールされている場合、このオプションはデフォルトでオフになっています。

CSRF 保護は、クライアントが、安全なセッション固有の CSRF Cookie および一致するリクエストパラメーターを送信することに依存しています。次のような、状態を変更する API 呼び出しはすべて保護されています。

• acl-create
• acl-field-update
• acl-multi-field-update
• permissions-update
• sco-update
• sco-upload

次の手順に従います。

1. 認証後、次の Cookie が生成されます。

• メインの Connect セッション Cookie として BREEZESESSION
• Connect セッション Cookie に基づく CSRF Cookie として BreezeCCookie

2. common-info API を呼び出して、CSRF Coo​​kie（BreezeCCookie）に対応する CSRF トークンを取得します。

• 次の CSRF トークンが返されます。<OWASP_CSRFTOKEN><token>...........</token></OWASP_CSRFTOKEN>

3. BreezeCCookie を Cookie および OWASP_CSRFTOKEN として状態を変更する、後続のすべての HTTP GET API 呼び出しを送信します。以下に例を示します。

     https://\[SERVER_URL\]/api/xml?action=\[state changing action\]&........&OWASP_CSRFTOKEN=[token_extracted_above]

4. 単一の HTTP POST メソッドを介して単一または複数の XML API を呼び出す統合の場合、次に示すように、OWASP_CSRFTOKEN（BreezeCCookie CSRF Cookie と共に）を送信します。

    <actions mode='...' OWASP_CSRFTOKEN=[token_extracted_above]>

「次のパスへの XML API 呼び出しに対して CSRF 保護を免除」オプションを有効にします。

このオプションを有効にすると、サーバーで生成された安全な URL が表示されます。この URL により、XML API を統合したアカウントは、サーバーで生成された安全で一意の URL パスに対して、引き続き XML API 呼び出しを行うことができます。