公開日:2013年3月6日
最終更新日:2013年12月26日
最終更新日:2013年12月26日
クロスサイト・リクエストフォージェリ(CSRF)対策(ASP.NET,C#,VB.NET編)
ASP.NET の CSRF 対策は簡単で、Web フォームの初期化の際に ViewState の ViewStateUserKey にセッション ID を割り当てるだけで対応できます。
・C#
|
1 2 3 4 5 |
protected override void OnInit(EventArgs e) { base.OnInit(e); ViewStateUserKey = Session.SessionID; } |
・VB.NET
|
1 2 3 4 |
Protected Overrides Sub OnInit(e As EventArgs) MyBase.OnInit(e) ViewStateUserKey = Session.SessionID End Sub |
この状態で CSRF の攻撃があると以下のようなエラー画面が表示され、攻撃をブロックします。
但し、この方法はセッションが既に開始されていることを前提としているので、セッションが開始されていない場合は上記エラーが表示されます。セッションが開始されているか分からない場合は、以下のように強制的にセッションを開始することでエラーを回避出来ます。
・C#
|
1 2 3 4 5 6 7 8 9 10 11 |
protected override void OnInit(EventArgs e) { base.OnInit(e); if (Session.IsNewSession) { Session["dummy"] = null; } ViewStateUserKey = Session.SessionID; } |
・VB.NET
|
1 2 3 4 5 6 7 8 9 |
Protected Overrides Sub OnInit(e As EventArgs) MyBase.OnInit(e) If (Session.IsNewSession) Then Session("dummy") = vbNull End If ViewStateUserKey = Session.SessionID End Sub |
■参考サイト
スポンサーリンク
カテゴリー:Webアプリケーションセキュリティ
Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー
コメントを残す