セキュリティ ベスト プラクティス (グラフ コントロール)
ここでは、ASP.NET アプリケーションでグラフ コントロールを使用する際のセキュリティ上のベスト プラクティスについて説明します。
イメージを読み込むときの入力およびデータの検証
グラフ コントロールには、既存のグラフ要素の多くを埋め込みイメージで置換する組み込みの機能が用意されています。これらのイメージをグラフ コントロールに読み込む場合、イメージのパスを仮想ルート内から含まれる場所に設定する必要があります。そうしないと、例外がスローされます。
エンド ユーザーが、仮想ルート内の信頼できない場所からイメージを読み込むことを回避できる組み込みのセキュリティ機能は、グラフ コントロールにありません。そのため、エンド ユーザーがイメージの場所を指定できるようにする場合、ユーザーの入力を検証して、イメージが信頼できる場所に格納されていたことを確認する必要があります。また、異なる特権を持つ他のユーザーのグラフをエンド ユーザーが表示できないように、イメージを分離してセキュリティで保護する必要があります。
外部ソースからデータを読み込むときの入力とデータの検証
グラフ コントロールでは、外部ソースから読み込まれるデータ ファイルまたはテンプレート ファイルは検証されません。信頼できる場所からファイルを参照するように確保することは、開発者の役割です。
その他のセキュリティの考慮事項
ASP.NET アプリケーションをセキュリティで保護するには、次の技術を使用することをお勧めします。
SSL (Secure Sockets Layer)
セッション
認証
Cookie