WEB製作にてクロスサイトスクリプティング対策を検討しておりますが、メールアドレス欄にて迷っています。メールアドレスにどのような制限をかけて行くのが現実的でしょうか? メールアドレスって実際には使用不可能文字が決まっていないようなものと考えられるので(私の思い込み?)、どこまで制限するかを迷ってます。ちなみにaspにてプログラム、データベースはSQL2003サーバになります。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2005/05/01 18:02:09
  • 終了:--

回答(4件)

id:kn1967 No.1

kn1967回答回数2915ベストアンサー獲得回数3012005/05/01 18:13:10

ポイント18pt

http://www.hatena.ne.jp/ダミーですみません:detail]

通常はドメイン名の命名規則に沿う形になりますので、

アルファベット、数字、ハイフン、アンダースコア、ドット、@

以上全ての半角文字以外は刎ねてしまって問題になる事は無いと思います。

id:tokyo_xjp No.2

tokyo_xjp回答回数284ベストアンサー獲得回数02005/05/01 18:16:38

ポイント18pt

メールアドレスの書式はこちらが参考になると思いますよ。

id:akimasa2000 No.3

akimasa2000回答回数276ベストアンサー獲得回数02005/05/01 18:17:03

ポイント17pt

http://www.japan.xitami.net/nsw/php/mailaddress.phtml

メールアドレス妥当性チェック

aspで正規表現を使えるかどうか解りませんが上の上のURLにある正規表現が現実的だと思います。

できれば実際にメールを送って確認した方が良いです。

id:tomo_k No.4

tomo_k回答回数426ベストアンサー獲得回数262005/05/01 21:30:18

ポイント17pt

http://www.ipa.go.jp/security/awareness/vendor/programming/a01_0...

1-2. クロスサイトスクリプティング

クロスサイトスプリクティング対策を施すにはHTMLタグを受け付けなければいいというのはこれで理解できます。メールアドレス欄といえどもタグを埋め込まれてくる可能性があるので対策を施すべきかと。

http://www.atmarkit.co.jp/fsecurity/rensai/webhole14/webhole01.h...

@IT:Webアプリケーションに潜むセキュリティホール(14)

ASPということなので、サニタイジングについてはHTMLEncodeすればいいでしょう。

id:maxz

ありがとうございました。非常に、非常に参考になりました。

2005/05/01 22:23:18

コメントはまだありません

この質問への反応(ブックマークコメント)

トラックバック

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません