ASP.NET でも html エスケープは必要

* ASP.NET でも html エスケープは必要

この記事の直リンクURL: Permlink | この記事が属するカテゴリ: [.net] [HTML] [C#]

html では、& " < > を直接記述することはできない。文法上意味を持つ文字だからだ。この文字そのものを表現したい場合は、それぞれ & " < > にエスケープする必要がある。これを怠るとセキュリティホールの原因となったり、表示が崩れたりする。ウェブアプリケーション作成の基礎であり、欠かせないものだ。

私は今回、この html エスケープについて失敗をしてしまった。今回は ASP.NET でシステムを作ったのだが、まだ ASP.NET に慣れていなかったことと、テストの時間を十分にとれなかったことが失敗の原因だ。

- DataGrid は html エスケープが必要

具体的に何をやったかというと、ASP.NET の Label コンポーネントの text プロパティに値を代入するときや、DataGrid コンポーネントにデータバインドするときに html エスケープをしなかったのだ。html エスケープは ASP.NET が勝手にやってくれると思いこんでいたからだ。

確かに、ASP.NET の TextBox コンポーネントなどであれば、value プロパティに代入した文字列の html エスケープは ASP.NET フレームワーク側で面倒を見てくれる。しかし、前述の Label や DataGrid をはじめとする一部のコンポーネントにおいては、html エスケープは自動で行われない。プログラマが責任を持ってエスケープする必要がある。

「自分のソースコード中で生成したデータで、エスケープする必要が100%ない場合はやらなくても良い。それに当てはまらない場合、出力するデータは必ず html エスケープしなさい。」とイルミ・ゾルディックくらい口を酸っぱくして後輩たちに言ってきた私がこの体たらく。実に恥ずかしいというか情けない。

ASP.NET の中でも、とくに DataGrid には注意が必要だ。DataGrid は他のコンポーネントに比べ、自動化・ウィザード化が進んでいる。DataGrid を使うと、簡単に DB にクエリを投げてそれを html テーブルとして出力する準備を整えられる。面倒な部分は Visual Studio と ASP.NET がやってくれるので、自分は SQL やストアドを書いてデータアダプタを作成し、DataGrid プロパティビルダで出力時の見栄えを整えさえすればいいと錯覚しがちだが、そうではない。html エスケープもやらなければならないのだ。

- C# で html エスケープするには

C# で html エスケープをするには、System.Web 名前空間の HttpUtility.HtmlEncode() メソッドを使うのが簡単だ。

以下のように .aspx ファイルのデータバインド時に呼ぶようにする。

<%# HttpUtility.HtmlEncode(DataBinder.Eval(Container, "DataItem.subject").ToString()) %>

もしくは、.aspx.cs でデータソースからデータを取り出した後、DataBind() を呼ぶ前にデータセットの各レコードのカラムを HttpUtility.HtmlEncode() する。DataGrid のプロパティに html エスケープするか否かを設定できるオプションなどがあっても良さそうなものだが、見つけることはできなかった。カスタムコントロールを作ればいいんだろうけど、標準で用意しておいて欲しかった。

System.Web.HttpUtility.HtmlEncode()
http://www.microsoft.com/japan/msdn/library/ja/cpref/html/fr ...

空白や区切り記号などの文字が HTTP ストリームで渡される場合、それらの文字は受信側で誤って解釈される可能性があります。HTML エンコーディングは、HTML では使用できない文字を等価の文字エンティティに変換します。HTML デコーディングはエンコーディングの逆の変換を行います。たとえば、テキストブロックに < および > という文字が埋め込まれている場合、これらの文字は HTTP 伝送用に &lt および &gt としてエンコードされます。

HttpServerUtility クラスにも同名のメソッドがあるが、ヘルプを読む限りこちらは URL エンコード用のメソッドだ。

System.Web.HttpServerUtility.HtmlEncode()
http://www.microsoft.com/japan/msdn/library/ja/cpref/html/fr ...

[Visual Basic, C#, JScript] 文字列を HTTP で送信できるようにエンコードする例を次に示します。"This is a <Test String>." というテキストを格納する文字列 TestString をエンコードし、その文字列を "This+is+a+%3cTest+String%3e." として文字列 EncodedString にコピーします。

- テスト

自分のコードが生成していない文字列を出力する部分は、以下の2つの文字列を入力してエスケープしていることを確認する。

<s>ESCAPE TEST</s>
javascript:alert('ESCAPE TEST')

<s> タグは打ち消し線を表示する。javascript:alert() はメッセージダイアログを表示する。もしこれらが機能してしまった場合、エスケープされていないことになる。

いつもはこの2つの文字列を表示させるテストを必ず行う。しかし、今回は開発に十分な時間がとれなかったこと、作ったものがアルファ版ということ、ASP.NET を過信したということが重なって失敗してしまった。

- 実際はタグを入力されると例外を出してエラー終了する設定になっていた

ここまで html エスケープについて述べてきたが、実際にはユーザ入力によるクロスサイトスクリプティングの心配はほぼ無かった。というのは、ASP.NET が持つ機能のおかげで危険な文字が入力されるのは防げていたからだ。

@ Page
http://www.microsoft.com/japan/msdn/library/ja/cpgenref/html ...

ValidateRequest
要求の検証を行うかどうかを示します。true の場合、要求の検証では、危険性のある値のリストと照合して、すべての入力データをチェックします。一致するものがあった場合は、HttpRequestValidationException クラスがスローされます。既定値は true です。
この機能は、マシン構成ファイル (Machine.config) で有効にします。この機能を無効にするには、アプリケーションの構成ファイル (Web.config) またはページで、この属性を false に設定します。

メモこの機能を使用すると、単純なページや ASP.NET アプリケーションに対するクロスサイトスクリプト攻撃のリスクを軽減できます。ユーザー入力を正しく検証できないアプリケーションは、クロスサイトスクリプティング攻撃や SQL Server への注入攻撃など、多くの種類の不正な入力攻撃を受ける可能性があります。アプリケーション内のすべての入力フォームを慎重に評価し、検証またはコーディングが適切であることを確認したり、データを操作する前やクライアントに情報を返す前にアプリケーションが退避していることを確認したりすることが重要です。クロスサイトスクリプティングの詳細については、http://www.cert.org/advisories/CA-2000-02.html を参照してください。

ただし、この機能が働いたときは例外を出してしまうので、悪意のないユーザが html タグに似た文字列を入れることもできなくなってしまう。ValidateRequest を無効にするには、web.config で設定する。もちろん無効にした場合はアプリケーションで完璧にサニタイズしなければならない。