« .NET Tips: ASP.NET Web アプリケーションの設計パターン | メイン | .NET Tips: セキュリティ ― Web アプリケーションにおける SQL インジェクション対策 »
March 16, 2005
.NET Tips: セキュリティ ― ASP.NET での 危険な HTML の入力を防ぐ
■ Web アプリケーションにおける 危険な HTML の入力
先ず Web アプリケーション一般における、危険な HTML の入力とはどのようなものか、以下を参照のこと。
- @IT ― Webアプリケーションにセキュリティホールを作らないための クロスサイトスクリプティング対策の基本
■ ASP.NET での対策
今の (.NET Framework 1.1 以降の) ASP.NET では、デフォルトでは、タグ入りの入力などは、自動でチェックされ、危険なリクエストを受けると例外がスローされる。
これにより、アプリケーションがサニタイズを怠った場合でも、最低限のセキュリティ対策はとられることになる。
これをオフにするにし、アプリケーション側でサニタイズを行う場合には、
Web.config で、
のようにする。
※ 参照:
アプリケーション側で HTML サニタイズを行うには、以下のメソッドが便利。
データバインド時に使う場合はこんな感じ:
<%# HttpUtility.HtmlEncode(DataBinder.Eval(Container, "XXXXX").ToString()) %>
※ 関連サイト:
投稿者 Fujiwo : March 16, 2005 09:40 AM
トラックバック
このエントリーのトラックバックURL:
http://blog0.shos.info/cgi-bin/mt-tb.cgi/146
このリストは、次のエントリーを参照しています: .NET Tips: セキュリティ ― ASP.NET での 危険な HTML の入力を防ぐ:
» internet killed the video star the limousines free mp3 download from internet killed the video star the limousines free mp3 download
翔ソフトウェア (Sho's) Fujiwo の日記: .NET アーカイブ [続きを読む]
トラックバック時刻: December 13, 2013 09:16 AM
» 1997 ford explorer from 1997 ford explorer
翔ソフトウェア (Sho's) Fujiwo の日記: March 2005 アーカイブ [続きを読む]
トラックバック時刻: June 29, 2014 09:51 AM
» here quest protein bars link from here quest protein bars link
翔ソフトウェア (Sho's) Fujiwo の日記: .NET Tips: セキュリティ ― ASP.NET での 危険な HTML の入力を防ぐ [続きを読む]
トラックバック時刻: August 28, 2014 08:16 AM
» minecraft games from minecraft games
翔ソフトウェア (Sho's) Fujiwo の日記: .NET Tips: セキュリティ ― ASP.NET での 危険な HTML の入力を防ぐ [続きを読む]
トラックバック時刻: September 17, 2014 07:39 AM
» Where To Buy Quest Bars In Bulk from Where To Buy Quest Bars In Bulk
翔ソフトウェア (Sho's) Fujiwo の日記: .NET Tips: セキュリティ ― ASP.NET での 危険な HTML の入力を防ぐ [続きを読む]
トラックバック時刻: October 9, 2014 01:31 AM
» Michael Kors Handbags from Michael Kors Handbags
Spot on with this write-up, I actually suppose this web site wants way more cons... [続きを読む]
トラックバック時刻: October 1, 2015 10:00 AM