不正操作防止機能の誤検知 のバックアップ(No.11)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• 不正操作防止機能の誤検知 へ行く。
  • 1 (2015-05-25 (月) 12:03:57)
  • 2 (2015-05-25 (月) 12:25:46)
  • 3 (2015-11-02 (月) 11:01:58)
  • 4 (2015-12-14 (月) 11:06:53)
  • 5 (2016-01-06 (水) 19:01:26)
  • 6 (2016-02-05 (金) 10:13:37)
  • 7 (2016-09-07 (水) 20:47:08)
  • 8 (2016-11-02 (水) 15:31:44)
  • 9 (2017-02-27 (月) 18:54:35)
  • 10 (2017-08-21 (月) 15:32:46)
  • 11 (2018-04-24 (火) 11:17:09)
  • 12 (2018-05-24 (木) 15:33:21)
  • 13 (2018-07-30 (月) 16:38:21)

---

「Open棟梁 wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

不正操作防止機能では以下を抑止します。

• 二重送信
• リロード
• バック・サブミット
• キャッシュの参照
• Sessionタイムアウト発生後に残存画面からPOSTバック

上記に該当するような操作を行っていないか、
fiddler - http debugging proxy等を使用して分析してみてください。

また、Sessionにブラウザ・ウィンドウ毎のRequestチケットを格納しているので、
セッション消去（FxSessionAbandon）によって、不正操作が誤検知されることがあります。

不正操作防止機能の局所化 †

概要 †

他の処理と干渉し合う場合、不正操作防止機能を部分的にOFFに設定できます。

• 不正操作防止機能を画面レベルでOFFにするには、Page_Initで

  this.CanCheckIllegalOperation = false;

とthis.CanCheckIllegalOperationプロパティにfalseのフラグを設定します。

詳細 †

ボタン単位等の局所化が必要な場合は、以下の方法に従ってください。

• 一部のボタンだけ不正操作防止機能を無効にする方法、ポストバックのダウンロード処理などで有効

  /// <summary>不正操作防止機能の局所化</summary>
  void Page_Init(object sender, EventArgs e) {
    foreach (string key in Request.Form.Keys) {
      if (key.IndexOf("btnIllegalOperationCheckOFF") != -1) {
        // btnIllegalOperationCheckOFFボタンで
        // サブミットされた場合、不正操作防止機能をOFFにする。
        this.CanCheckIllegalOperation = false;
      }
    }
  }

• 一部のボタンだけ不正操作防止機能を有効にする方法、更新ボタンだけに適用したい場合などに有効

• 設定
  • app.config の appSettingsセクションで、
    https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/C%23/Samples/WebApp_sample/WebForms_Sample/WebForms_Sample/app.config#L41

    <!-- 不正操作防止機能のon・off（操作履歴の最大数） --> 
    <add key="FxRequestTicketGuidMaxQueueLength" value="0"/> 

    "FxRequestTicketGuidMaxQueueLength=0"（0以下の値）を設定して、不正操作防止機能の機能OFFにします。

• 実装

  /// <summary>不正操作防止機能の局所化</summary>
  void Page_Init(object sender, EventArgs e) {
   
    // 当該画面だけ、不正操作防止機能をONにする（*.configはOFFに設定）。
    this.CanCheckIllegalOperation = true;
   
    foreach (string key in Request.Form.Keys) {
      if (key.IndexOf("btnIllegalOperationCheckON") != -1) {
        // btnIllegalOperationCheckONボタンで
        // サブミットされた場合、不正操作防止機能をONにする。
        this.CanCheckIllegalOperation = true;
      }
    }
  }

参考 †

• .NET用アプリケーション フレームワーク ”棟梁” 利用ガイド（ベターユース、FAQ編）
  https://github.com/OpenTouryoProject/OpenTouryoDocuments/blob/master/documents/1_User_Guide/ja-JP/7_User_Guide(BetterUse_and_FAQ).doc
  • 2.3節：不正操作防止機能の局所化

ASP.NET AJAXの場合 †

• ASP.NET AJAXではHTTPリクエストの内容から、
  AJAXの要求であることを識別して、不正操作防止機能を動作させない造りをしています。

• BaseController?.Page_Load()
  https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/C%23/Frameworks/Infrastructure/Framework/Presentation/BaseController.cs#L725

• しかし、SPREAD等のASPXに対してAJAX通信を行う
  サードパーティ製UIコンポーネントを使用する場合、不正操作防止機能と干渉し合うことがあります。

• ASPXではなく、WCFやWebAPIのモジュールとAJAX通信を行う場合、干渉は起こりません。

     

Site admin: OpenTouryo

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.012 sec.