- 追加された行はこの色です。
- 削除された行はこの色です。
「[[Open棟梁 wiki>https://opentouryo.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>設計のポイント]]
-戻る
--[[FAQ - その他]]
--[[設計のポイント]]
*目次 [#v5810315]
#contents
*概要 [#c023adca]
脆弱性対策のポイント
*[[サニタイジングの処理の実装方針]] [#x3c5804e]
*[[XSRF対策の実装方針]] [#z96a6a63]
*主なモノ [#jb87aa89]
**[[SQLインジェクション対策の実装方針>https://techinfoofmicrosofttech.osscons.jp/index.php?SQL%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%A7%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3%E5%AF%BE%E7%AD%96%E3%81%AE%E5%AE%9F%E8%A3%85%E6%96%B9%E9%87%9D]] [#q3067e97]
Open棟梁では、
-パラメタライズド・クエリ
--[[静的パラメタライズド・クエリ]]
--[[動的パラメタライズド・クエリ]]
-[[バッチクエリ作成支援機能]]~
パラメタ数に上限があるため、この機能ではパラメタ文字列としてSQL内部に組み込む。~
このため、この機能では、文字列パラメタのエスケープ処理を実装している。
を使用する。
**[[XSS対策の実装方針>https://techinfoofmicrosofttech.osscons.jp/index.php?XSS%E5%AF%BE%E7%AD%96%E3%81%AE%E5%AE%9F%E8%A3%85%E6%96%B9%E9%87%9D]] [#x3c5804e]
Web Formsのカスタムコントロール([[バリデーション機能付きカスタム コントロール]])の~
テンプレートをカスタマイズして、サニタイジング処理のカスタマイズ(追加)が可能。
**[[CSRF(XSRF)対策の実装方針>https://techinfoofmicrosofttech.osscons.jp/index.php?CSRF%28XSRF%29%E5%AF%BE%E7%AD%96%E3%81%AE%E5%AE%9F%E8%A3%85%E6%96%B9%E9%87%9D]] [#z96a6a63]
上記のリンク先の対策以外に、Open棟梁では、
-Web FormsのPOSTは[[不正操作防止機能]]を、
-Web FormsのGETは[[画面遷移制御機能]]の~
画面遷移チェック機能にある、GET防止機能を
使用してコレを防御することもできる。
*参考 [#u480e700]
**[[脆弱性対策のポイント - マイクロソフト系技術情報 Wiki>https://techinfoofmicrosofttech.osscons.jp/index.php?%E8%84%86%E5%BC%B1%E6%80%A7%E5%AF%BE%E7%AD%96%E3%81%AE%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88]] [#f9c678ba]