「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
ASP.NETでのCSRF(XSRF)対策のサニタイジング方針について纏める。
XSRF(CSRF)は、あるサイトを操作している時に、
(従って、ログインも、セッションも存在している状態で)
操作者が攻撃者のリンクを踏むと、意図せぬ操作を実行されてしまう。
そういう類の攻撃で方法です(「ぼくはまちちゃん!」が有名)。
ViewState の ViewStateUserKey? にセッション ID を割り当てる方法がメジャー。
GETでは攻撃しやすいのでQueryString?で予期せぬCRUD等の操作がされないように作る。
ValidateAntiForgeryToken?属性とHtml.AntiForgeryToken?ヘルパを使う。
GETでは攻撃しやすいのでQueryString?で予期せぬCRUD等の操作がされないように作る。
案件依存だが・・・。
上記から選択。
上記から選択。
案件毎にCSRF(XSRF)対策のポリシーを持って対応する必要がある。
一般的に、足がつかない、
が多いと考える。
操作中にリンクを踏む必要があるので、
対象システム外に書き込みを行う場合、
GET要求を投げるための偽装テクニックがある。
Tags: :テスト