■ Web アプリケーションにおける 危険な HTML の入力

先ず Web アプリケーション一般における、危険な HTML の入力とはどのようなものか、以下を参照のこと。

• @IT ― Webアプリケーションにセキュリティホールを作らないための クロスサイトスクリプティング対策の基本

  • 前編: クロスサイトスクリプティング脆弱性とは?
  • 後編: XSSを防ぐために不可欠なサニタイジング (無害化)

■ ASP.NET での対策

今の (.NET Framework 1.1 以降の) ASP.NET では、デフォルトでは、タグ入りの入力などは、自動でチェックされ、危険なリクエストを受けると例外がスローされる。

これにより、アプリケーションがサニタイズを怠った場合でも、最低限のセキュリティ対策はとられることになる。

これをオフにするにし、アプリケーション側でサニタイズを行う場合には、

Web.config で、

のようにする。

※ 参照:

• MSDN ― @ Page ― ValidateRequest

アプリケーション側で HTML サニタイズを行うには、以下のメソッドが便利。

• MSDN ― HttpUtility.HtmlEncode メソッド (System.Web 名前空間)

データバインド時に使う場合はこんな感じ:

<%# HttpUtility.HtmlEncode(DataBinder.Eval(Container, "XXXXX").ToString()) %>

※ 関連サイト:

• @IT ― セキュアなWebサイトを運営するための Webアプリケーションに潜むセキュリティホール
• MSDN ― セキュリティ保護された ASP.NET ページとコントロールを構築する