Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2013年3月9日

入力値は必ずサーバー側でチェックする

プラウザから送信されてきた入力値、パラメーターは必ずサーバー側の受け入れ時にチェックを行うようにします。

ブラウザ上の JavaScript で入力値チェックを行なっているのだから、サーバー側でのチェックは不要だと考えるケースが見受けられますが、以下の記事に書いたように、ブラウザから送信されてくる情報は簡単に改ざんが可能です。

ですので、ブラウザ上の JavaScript によるチェックは、あくまでユーザーの利便性のために行うものであるとお考えください。

ブラウザとサーバーの二重チェックになってしまいますが、これは Webアプリケーションの要件として、二重チェックをしてでもユーザーの利便性を向上させるのか、コストを抑えるためにサーバー側のチェックだけにするのかを決めておく必要があります。

注意点としては、二重チェックにした場合、ブラウザ上のチェックとサーバー側のチェックが確実に同じ内容になるように気をつけましょう。開発する中で、二重チェックに誤差が出てしまうことはよくあることです。

これはWebセキュリティ対策ではないですが、Webアプリケーションの基本として覚えておきましょう。

  • 入力値は必ずサーバー側でチェックする
  • ブラウザ上のチェックはユーザーの利便性のために行う

スポンサーリンク




カテゴリー:Webアプリケーションセキュリティ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA