公開日:2013年3月5日
最終更新日:2013年12月26日
最終更新日:2013年12月26日
CSRF の安全なトークンの作成方法(ASP.NET,C#,VB.NET編)
以下の記事の内容に従って、ASP.NET(C#, VB.NET) で CSRF の安全なトークンを作成する方法をご紹介します。
.NET の 暗号論的擬似乱数生成器 で乱数を作成できるクラスは、System. Security. Cryptography. RNGCryptoServiceProvider クラスになります。
また、安全なトークンの桁数は32桁になります。
・C#
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 |
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Text; using System.Security.Cryptography; namespace TestCS { public class Csrf { private static int TOKEN_LENGTH = 16; //16*2=32バイト //32バイトのCSRFトークンを作成 public static string GetCsrfToken() { byte[] token = new byte[TOKEN_LENGTH]; RNGCryptoServiceProvider gen = new RNGCryptoServiceProvider(); gen.GetBytes(token); StringBuilder buf = new StringBuilder(); for (int i = 0; i < token.Length; i++) { buf.AppendFormat("{0:x2}", token[i]); } return buf.ToString(); } } } |
・VB.NET
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
Imports System.Security.Cryptography Public Class Csrf Private Shared TOKEN_LENGTH As Integer = 15 '16*2=32バイト' '32バイトのCSRFトークンを作成' Public Shared Function GetCsrfToken() As String Dim token As Byte() = New Byte(TOKEN_LENGTH) {} Dim gen As RNGCryptoServiceProvider = New RNGCryptoServiceProvider() gen.GetBytes(token) Dim buf As StringBuilder = New StringBuilder() For i As Integer = 0 To token.Length - 1 buf.AppendFormat("{0:x2}", token(i)) Next Return buf.ToString() End Function End Class |
このクラスによって生成されたトークンは以下のようになります。
|
1 |
59246cdfc01e47f64d0cceaf13c6bac0 |
スポンサーリンク
カテゴリー:Webアプリケーションセキュリティ
Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー
コメントを残す