開発備忘録となんちゃって日記: トラブル備忘録 − 無効な viewstate です。エラーが頻発しエラーログが大量にでる。
2013年11月27日水曜日 トラブル備忘録 − 無効な viewstate です。エラーが頻発しエラーログが大量にでる。 ASP.NETで作成されたWEBシステムのエラーで、「無効な viewstate です。 」が大量に 出力されていたので原因調査と対応方法を検討した。 <環境> Windows Server 2008 r2 64bit Oracle 11g r2 IIS7 ASP.NET <経緯> あるトラブル発生時にサーバイベントログを調査した際、大量の無ハンドル例外が ASP.NETから出力されていた。 Global.asaxを確認したところ、Application_Error には何も書かれていなかった。 イベントログに出ている原因を確認。 <対応1> 無ハンドル例外対応。 → 本システムにはエラーログをだす仕組みが存在していたため、Global.asaxの Applicati
EnableEventValidation
インジェクションアタックに対するセキュリティ対策のため、ASP.NET 2.0 からコントロールにイベント検証の機能が追加されています。ポストバック処理の際、クライアントから POST された値を検証し、未知の値の場合は以下のように ArgumentException をスローします。 無効なポストバックまたはコールバック引数です。イベントの検証は、構成の <pages enableEventValidation="true"/>、またはページの <%@ Page EnableEventValidation="true" %> を使用して有効にされます。セキュリティの目的により、この機能は、イベントをポストバックまたはコールバックする引数が、それらを最初に表示したサーバー コントロールから発行されていることを確認します。データが有効であり、予期されている場合、検証のためのポストバックまたは
ASP.NET MVCで簡単なアプリケーションを構築しよう
はじめに 前回はASP.NET MVCの基本として、「URLルーティング」や「MVCの明確な分離」、「認証機能」などを紹介しました。今回は残りの基本部分を解説しつつ、スキャフォールディング機能を利用してデータの一覧、詳細、編集、作成ができるアプリケーションを作成してみます。 必要な環境 次の環境が必要です。 Visual Studio 2008 Visual Studio 2008 SP1 ASP.NET MVC 1 RTW版(MVC 2以降では正しく動作しません。) Visual Studio 2008(以下、VS2008)のインストールは、『Visual Studio 2008入門 第1回』を参考に行ってください。 VS2008 SP1のインストールは『簡単なデータ編集はお任せ! ASP.NET Dynamic Dataアプリケーション』を参考に行ってください。 ASP.NET MVC
ASP.NET のセキュリティ対策について考える - しばやん雑記
XSS や CSRF の話題は相変わらず結構多いですね。例えば、はまちや2さんのブログに最近書かれたエントリとか。 CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!(Hatena) 曰く、Hatena や Facebook など多くのサービスがログイン画面では CSRF 対策されていないとか。実際に書かれているようなことが起きたら怖いですねー。 で、本題なんですが、ASP.NET を使ったサービスでは XSS や CSRF に関してはあまり被害を聞かないなーと思いました。ぶっちゃけ、採用サイトが少なすぎるのが理由な気もするんですが、SQL インジェクションはよく聞きますが、XSS・CSRF は自分は特に被害を知りません。 XSS XSS は悪意のある入力内容が、適切にエスケープされずに出力された場合に発生します。ということでエスケープをしましょう。 そもそも ASP.NE
ASP.NETで忘れずにやっておくべきこと(1) ViewStateUserKeyを使う - atsukanrockのブログ
はじめに 本エントリから何回かに分けて、ASP.NETアプリケーションを作成する際に、忘れずにやっておくべき(だと私が考える)ことを挙げる*1。第1回は「ViewStateUserKeyを使う」だ。 目的 ViewStateUserKeyを使うことで、手軽にワンクリック攻撃対策をする。ワンクリック攻撃については、『ASP.NET の組み込み機能を活用し、Web 攻撃を回避する』の「ViewStateUserKey」に解説あり。このリンク先には、ViewStateUserKeyを含む、ASP.NETのセキュリティ関連の組み込み機能について、良質な説明がある。ぜひご一読を。 注意 このページによるとGUIDを使うのが良いとのことだが、本エントリでは、MSDNで推奨されている、セッションIDを設定する方法を示す。セッションハイジャック対策を別途行うことで、このリンク先で指摘されている脆弱性を減ら
Visual Studio User Group > 連載 > ASP.NETにおけるイベントドリブンモデルとページライフサイクル(後編)
ASP.NET で定義されたイベントはクライアントからリクエストがあると、ページライフサイクルの途中で呼び出されます。今回は ASP.NET のイベントがサーバーでどのように処理されるのかを注意点やサンプルを交えながら説明します。 ● サーバー側でのイベントの解釈 前編では、クライアント側がどのように ASP.NET にイベントを伝えているかを説明しました。ではサーバー側で関連付けられたイベントハンドラは実際どのように呼び出されているのでしょうか。イベントの呼び出しを知るには、ASP.NET のアプリケーションライフサイクルとページライフサイクルについて触れる必要があります。 ○ ASP.NET のアプリケーションライフサイクル ASP.NET のアプリケーションは、ASP.NET のバージョンと Web サーバーによってその発生の仕方が違います。ここでは IIS7.0 統合モード
ASP.NET MVCフレームワークの概要を理解する
本稿は昨年公開された「もう一つのASP.NET “ASP.NET MVC”を知る(前編)」をRTW対応させ、内容を再構築したものです。ASP.NET MVC入門者にとって基本のキの部分までは学べると思うので、ASP.NET MVCに興味がある方はぜひ参考にしてください。 はじめに Visual Studio 2010(以下、VS2010)のBetaがリリースされ、少しずつVS2010の影が見えてきていますが、そのリリース前にASP.NETには大きな分岐点が現れました。ASP.NET MVCの正式リリースです。VS2010から標準搭載され、ASP.NETユーザーの選択肢であると同時に、Azureプラットフォームや動的言語ユーザーに対するアプローチも行えるASP.NET MVCについて、仕組みの部分をしっかりと押さえたいと思います。 必要な環境 次の環境が必要です。 Visual Studio
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
