.NET Tips: セキュリティ ― ASP.NET での 危険な HTML の入力を防ぐ

2005年3月16日

■ Web アプリケーションにおける 危険な HTML の入力
先ず Web アプリケーション一般における、危険な HTML の入力とはどのようなものか、以下を参照のこと。

• @IT ― Webアプリケーションにセキュリティホールを作らないための クロスサイトスクリプティング対策の基本
  • 前編: クロスサイトスクリプティング脆弱性とは?
  • 後編: XSSを防ぐために不可欠なサニタイジング (無害化)

■ ASP.NET での対策
今の (.NET Framework 1.1 以降の) ASP.NET では、デフォルトでは、タグ入りの入力などは、自動でチェックされ、危険なリクエストを受けると例外がスローされる。
これにより、アプリケーションがサニタイズを怠った場合でも、最低限のセキュリティ対策はとられることになる。
これをオフにするにし、アプリケーション側でサニタイズを行う場合には、
Web.config で、

のようにする。
※ 参照:

• MSDN ― @ Page ― ValidateRequest

アプリケーション側で HTML サニタイズを行うには、以下のメソッドが便利。

• MSDN ― HttpUtility.HtmlEncode メソッド (System.Web 名前空間)

データバインド時に使う場合はこんな感じ:
<%# HttpUtility.HtmlEncode(DataBinder.Eval(Container, "XXXXX").ToString()) %>
※ 関連サイト:

• @IT ― セキュアなWebサイトを運営するための Webアプリケーションに潜むセキュリティホール
• MSDN ― セキュリティ保護された ASP.NET ページとコントロールを構築する