.NET Tips: セキュリティ ― ASP.NET での 危険な HTML の入力を防ぐ
■ Web アプリケーションにおける 危険な HTML の入力
先ず Web アプリケーション一般における、危険な HTML の入力とはどのようなものか、以下を参照のこと。
- @IT ― Webアプリケーションにセキュリティホールを作らないための クロスサイトスクリプティング対策の基本
■ ASP.NET での対策
今の (.NET Framework 1.1 以降の) ASP.NET では、デフォルトでは、タグ入りの入力などは、自動でチェックされ、危険なリクエストを受けると例外がスローされる。
これにより、アプリケーションがサニタイズを怠った場合でも、最低限のセキュリティ対策はとられることになる。
これをオフにするにし、アプリケーション側でサニタイズを行う場合には、
Web.config で、
のようにする。
※ 参照:
アプリケーション側で HTML サニタイズを行うには、以下のメソッドが便利。
データバインド時に使う場合はこんな感じ:
<%# HttpUtility.HtmlEncode(DataBinder.Eval(Container, "XXXXX").ToString()) %>
※ 関連サイト:
ディスカッション
コメント一覧
まだ、コメントがありません