人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

WEB製作にてクロスサイトスクリプティング対策を検討しておりますが、メールアドレス欄にて迷っています。メールアドレスにどのような制限をかけて行くのが現実的でしょうか? メールアドレスって実際には使用不可能文字が決まっていないようなものと考えられるので(私の思い込み?)、どこまで制限するかを迷ってます。ちなみにaspにてプログラム、データベースはSQL2003サーバになります。

●質問者: maxz
●カテゴリ:コンピュータ
✍キーワード:ASP Web クロスサイトスクリプティング サーバ データベース
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

1 ● kn1967
●18ポイント

http://www.hatena.ne.jp/ダミーですみません:detail]

通常はドメイン名の命名規則に沿う形になりますので、

アルファベット、数字、ハイフン、アンダースコア、ドット、@

以上全ての半角文字以外は刎ねてしまって問題になる事は無いと思います。


2 ● tokyo_xjp
●18ポイント

http://www.din.or.jp/~ohzaki/perl.htm#Mail

Perlメモ

メールアドレスの書式はこちらが参考になると思いますよ。


3 ● akimasa2000
●17ポイント

http://www.japan.xitami.net/nsw/php/mailaddress.phtml

メールアドレス妥当性チェック

aspで正規表現を使えるかどうか解りませんが上の上のURLにある正規表現が現実的だと思います。

できれば実際にメールを送って確認した方が良いです。


4 ● tomo_k
●17ポイント

http://www.ipa.go.jp/security/awareness/vendor/programming/a01_0...

1-2. クロスサイトスクリプティング

クロスサイトスプリクティング対策を施すにはHTMLタグを受け付けなければいいというのはこれで理解できます。メールアドレス欄といえどもタグを埋め込まれてくる可能性があるので対策を施すべきかと。

http://www.atmarkit.co.jp/fsecurity/rensai/webhole14/webhole01.h...

@IT:Webアプリケーションに潜むセキュリティホール(14)

ASPということなので、サニタイジングについてはHTMLEncodeすればいいでしょう。

◎質問者からの返答

ありがとうございました。非常に、非常に参考になりました。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ