「[[Open棟梁 wiki>https://opentouryo.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[FAQ - その他]] --[[設計のポイント]] *目次 [#v5810315] #contents *概要 [#c023adca] 脆弱性対策のポイント *参考 [#u480e700] -脆弱性対策のポイント - マイクロソフト系技術情報 Wiki~ https://techinfoofmicrosofttech.osscons.jp/index.php?%E8%84%86%E5%BC%B1%E6%80%A7%E5%AF%BE%E7%AD%96%E3%81%AE%E3%83%9D%E3%82%A4%E3%83%B3%E3%83%88 *主なモノ [#jb87aa89] **[[SQLインジェクション対策の実装方針>https://techinfoofmicrosofttech.osscons.jp/index.php?SQL%E3%82%A4%E3%83%B3%E3%82%B8%E3%82%A7%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3%E5%AF%BE%E7%AD%96%E3%81%AE%E5%AE%9F%E8%A3%85%E6%96%B9%E9%87%9D]] [#q3067e97] Open棟梁では、 -パラメタライズド・クエリ --[[静的パラメタライズド・クエリ]] --[[動的パラメタライズド・クエリ]] -[[バッチクエリ作成支援機能]]~ パラメタ数に上限があるため、この機能ではパラメタ文字列としてSQL内部に組み込む。~ このため、この機能では、文字列パラメタのエスケープ処理を実装している。 を使用する。 **[[XSS対策の実装方針>https://techinfoofmicrosofttech.osscons.jp/index.php?XSS%E5%AF%BE%E7%AD%96%E3%81%AE%E5%AE%9F%E8%A3%85%E6%96%B9%E9%87%9D]] [#x3c5804e] Web Formsのカスタムコントロール([[バリデーション機能付きカスタム コントロール]])の~ テンプレートをカスタマイズして、サニタイジング処理のカスタマイズ(追加)が可能。 **[[CSRF(XSRF)対策の実装方針>https://techinfoofmicrosofttech.osscons.jp/index.php?CSRF%28XSRF%29%E5%AF%BE%E7%AD%96%E3%81%AE%E5%AE%9F%E8%A3%85%E6%96%B9%E9%87%9D]] [#z96a6a63] Open棟梁では、 -Web FormsのPOSTは[[不正操作防止機能]]を、 -Web FormsのGETは[[画面遷移制御機能]]の~ 画面遷移チェック機能にある、GET防止機能を 使用してコレを防御することもできる。