応用情報技術者標準教科書(2013年版) 補足「Webアプリケーションセキュリティ」
下記は拙著「応用情報技術者標準教科書」の2014年版(仮称)において差替を検討している項目です。
2013年版の補足として公開します。
p.350 9.5.4〔2〕Webアプリケーションセキュリティ【差替】
WebクライアントがWebサーバに送信するデータを検査することや、Webアプリケーションのぜい弱性を解消することで、Webアプリケーションセキュリティを実現します。前者により、SQLインジェクション(⇒p.348(9.5.5〔1〕)参照)などの攻撃を遮断する技術としてWAF(Webアプリケーションファイアウォール)があります。
また、クロスサイトリクエストフォージェリ(⇒p.319(9.1.5)参照)などを防止するために、ログイン画面からの会話の流れにおいてページトークンを受け渡す技法を用います。ページトークンはHTMLのhiddenパラメータによって送受信する秘密情報で、受け渡しは必要最小限の範囲で行うことがポイントです。なお、パラメータをURLに付加するGETメソッドでアクセスすると、ページトークンも付加してしまうため、出力の効率が低い代わりにパラメータをURLに付加しないPOSTメソッドを用います。
[索引追加] GETメソッド、POSTメソッド
The comments to this entry are closed.
Comments