コネクト株式会社 技術情報コンテンツ | ||
[[セキュリティ指針]] 入力値はすべて危険!説明よくあるWebプログラマの勘違いに、Hedden項目やCookieの入力を安全として入力してしまうことがある。 しかしそれは正しくない、Webセキュリティの基本は、「外部からの入力はすべて疑え」 である。 被害例Webアンケートなどで、複数の項目を入力するページが存在したとする。
対策HeddenやCookieの項目は、ブラウザの設定もしくは中間に入るプロキシによっていくらでも改ざんが可能である。そのため、すべてのクライアントからくるデータについて不正な入力データが存在しないかどうかを、スクリプトでチェックする必要がある。 |