« .NET Tips: ASP.NET Web アプリケーションの設計パターン | メイン | .NET Tips: セキュリティ ― Web アプリケーションにおける SQL インジェクション対策 »

.NET Tips: セキュリティ ― ASP.NET での 危険な HTML の入力を防ぐ

tips.gif
■ Web アプリケーションにおける 危険な HTML の入力

先ず Web アプリケーション一般における、危険な HTML の入力とはどのようなものか、以下を参照のこと。

■ ASP.NET での対策

今の (.NET Framework 1.1 以降の) ASP.NET では、デフォルトでは、タグ入りの入力などは、自動でチェックされ、危険なリクエストを受けると例外がスローされる。
これにより、アプリケーションがサニタイズを怠った場合でも、最低限のセキュリティ対策はとられることになる。

これをオフにするにし、アプリケーション側でサニタイズを行う場合には、

Web.config で、

のようにする。

※ 参照:

アプリケーション側で HTML サニタイズを行うには、以下のメソッドが便利。

データバインド時に使う場合はこんな感じ:

<%# HttpUtility.HtmlEncode(DataBinder.Eval(Container, "XXXXX").ToString()) %>

※ 関連サイト:

コメントを投稿

(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)

About

2005年03月16日 09:40に投稿されたエントリーのページです。

ひとつ前の投稿は「.NET Tips: ASP.NET Web アプリケーションの設計パターン」です。

次の投稿は「.NET Tips: セキュリティ ― Web アプリケーションにおける SQL インジェクション対策」です。

他にも多くのエントリーがあります。メインページアーカイブページも見てください。

Powered by
Movable Type 3.35