Webアプリケーションの不正操作 のバックアップ(No.1)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• Webアプリケーションの不正操作 へ行く。
  • 1 (2016-03-18 (金) 22:46:44)
  • 2 (2016-03-18 (金) 23:08:39)
  • 3 (2016-10-03 (月) 14:46:54)
  • 4 (2016-10-22 (土) 18:24:24)
  • 5 (2017-02-27 (月) 18:40:37)
  • 6 (2017-07-23 (日) 15:27:43)
  • 7 (2017-12-14 (木) 10:25:13)
  • 8 (2018-03-12 (月) 09:27:46)
  • 9 (2018-03-27 (火) 11:40:22)
  • 10 (2018-04-24 (火) 12:18:21)
  • 11 (2018-07-30 (月) 16:37:36)

---

Open棟梁 wiki

• 戻る

目次 †

概要 †

wwwブラウザの標準の機能では、業務アプリケーションのニーズに合った不正操作の制御・抑止方法が用意されていない。このため、案件によっては、JavaScript?などを使用してwwwブラウザを制御する場合もある。ただし、JavaScript?を使用した不正操作の制御・抑止処理をクロス ブラウザに完全に対応させることは難しいので、サーバ側で不正操作を検出し、以降の処理を中断し、システムに問題がおこらないように制御することもできる。

★ 不正操作の制御・抑止に関する要件を明確にしておくこと。

不正操作の種類 †

新規ウィンドウの作成 †

同一の業務を、wwwブラウザの同一プロセス上の複数ウィンドウで操作するとSessionの競合が発生する可能性がある。

※ ”Open棟梁” ASP.NET用P層フレームワークの「ブラウザ ウィンドウ別セッション?領域」を使用することで、この問題を回避することができる 。

※ 仮に、１枚のブラウザ ウィンドウでの表示のみ許可するのであれば、GET要求をログイン時（もしくは任意の業務開始時）の１回のみ許可して名称付きのブラウザ ウィンドウにメニュー画面を表示させる。

以降、全ての画面遷移を

• POST ＋ Transferで実装してGET要求を拒否する
• もしくは、 ”Open棟梁”のASP.NET用P層フレームワークの「画面遷移制御機能」を使用することで、１枚のウィンドウの制限を実現できる。

※ ”棟梁” ASP.NET用P層フレームワークの「不正操作防止機能」は、複数画面をサポートするため画面単位にリクエスト チケットを発行、画面単位の不正操作しか防止しない仕様であるため、この用途には使用できない。サブシステムや任意の業務などのSessionの競合が発生しない範囲毎に分けてリクエスト チケットを発行し、リクエストを検証する仕組みを別途実装すれば、柔軟な対応が可能である。

     

Site admin: OpenTouryo

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.008 sec.