HttpRequestValidationException クラス (System.Web)

すべて縮小

言語フィルタ

このページは次のバージョンについて記述しています。

Microsoft Visual Studio 2008/.NET Framework 3.5

その他のバージョンについては、以下の情報を参照してください。

.NET Framework クラスライブラリ

HttpRequestValidationException クラス

更新 : 2007 年 11 月

要求データの一部としてクライアントから受信した入力文字列に危険性が高い文字列が含まれている場合にスローされる例外。このクラスは継承できません。

名前空間 : System.Web
アセンブリ : System.Web (System.Web.dll 内)

構文

Visual Basic (宣言)

<SerializableAttribute> _
<AspNetHostingPermissionAttribute(SecurityAction.LinkDemand, Level := AspNetHostingPermissionLevel.Minimal)> _
Public NotInheritable Class HttpRequestValidationException _
    Inherits HttpException

Visual Basic (使用法)

Dim instance As HttpRequestValidationException

[SerializableAttribute]
[AspNetHostingPermissionAttribute(SecurityAction.LinkDemand, Level = AspNetHostingPermissionLevel.Minimal)]
public sealed class HttpRequestValidationException : HttpException

Visual C++

[SerializableAttribute]
[AspNetHostingPermissionAttribute(SecurityAction::LinkDemand, Level = AspNetHostingPermissionLevel::Minimal)]
public ref class HttpRequestValidationException sealed : public HttpException

/** @attribute SerializableAttribute */ 
/** @attribute AspNetHostingPermissionAttribute(SecurityAction.LinkDemand, Level = AspNetHostingPermissionLevel.Minimal) */
public final class HttpRequestValidationException extends HttpException

JScript

public final class HttpRequestValidationException extends HttpException

解説

危険性が高い入力文字列を使用するハッカーの攻撃を防ぐには、Web アプリケーションでユーザー入力を制約し、検証することが重要です。クロスサイトスクリプト攻撃は、そのようなハッキングの一例です。さまざまな入力形式を使用して、危険性が高いその他の不要なデータが渡される可能性もあります。同じコードを使用するプログラマが適切な検証方法を実行しない場合でも、アプリケーションの低レベルで渡されるデータの種類を制限することによって、予期しないイベントを防ぐことができます。

要求の検証では、危険性が高いクライアント入力を検出し、この例外をスローして、要求の処理が中止されます。要求の中止は、クロスサイトスクリプト攻撃などのアプリケーションのセキュリティが損なわれる試みがあったことを示している可能性があります。アプリケーションで、要求の中止に関連するすべての入力を明示的にチェックすることを強くお勧めします。ただし、次の例に示すように、@ Page ディレクティブの validateRequest 属性を false に設定して、要求の検証を無効にできます。

<%@ Page validateRequest="false" %>

アプリケーションで要求の検証を無効にするには、そのアプリケーション用の Web.config ファイルを修正または作成し、次の例に示すように、pages セクションの validateRequest 属性を false に設定する必要があります。

<configuration> 
  <system.web> 
    <pages validateRequest="false" /> 
  </system.web> 
</configuration>

サーバー上のすべてのアプリケーションで要求の検証を無効にするには、上記のように Machine.config ファイルを修正します。

メモ :
ASP.NET によって実行される要求の検証に加えて、アプリケーションですべての入力を明示的にチェックすることを強くお勧めします。要求の検証機能では、すべての攻撃を検出できません。特に、アプリケーション論理を標的として行われる攻撃などは検出できません。

例

HttpRequestValidationException を使用して、危険性が高いユーザー入力をチェックするコード例を次に示します。

セキュリティに関するメモ :
この例には、ユーザー入力を受け付けるテキストボックスがあります。これにより、セキュリティが脆弱になる可能性があります。既定では、ASP.NET Web ページによって、ユーザー入力にスクリプトまたは HTML 要素が含まれていないかどうかが検証されます。詳細については、「スクリプトによる攻略の概要」を参照してください。

セキュリティに関するメモ :

この例には、ユーザー入力を受け付けるテキストボックスがあります。これにより、セキュリティが脆弱になる可能性があります。既定では、ASP.NET Web ページによって、ユーザー入力にスクリプトまたは HTML 要素が含まれていないかどうかが検証されます。詳細については、「スクリプトによる攻略の概要」を参照してください。

Visual Basic

<%@ Page Language="VB" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<script runat="server">
    Sub Button1_Click(ByVal sender As Object, ByVal e As System.EventArgs)
        Label1.Text = txt1.Text
    End Sub
</script>

<html  >
<head runat="server">
    <title>Untitled Page</title>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        <asp:TextBox id="txt1" Runat="server" />
        <asp:Button ID="Button1" Runat="server" Text="Button" OnClick="Button1_Click" />
        <br /><br />You entered: <asp:Label ID="Label1" Runat="server" Text="Label" />.
    </div>
    </form>
</body>
</html>

<%@ Page Language="C#" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<script runat="server">
    void Button1_Click(object sender, EventArgs e)
    {
        Label1.Text = txt1.Text;
    }
</script>

<html  >
<head id="Head1" runat="server">
    <title>Untitled Page</title>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        <asp:TextBox id="txt1" Runat="server" />
        <asp:Button ID="Button1" Runat="server" Text="Button" OnClick="Button1_Click" />
        <br /><br />You entered: <asp:Label ID="Label1" Runat="server" Text="Label" />.
    </div>
    </form>
</body>
</html>

アクセス許可

AspNetHostingPermission
(ホスト環境での動作に必要なアクセス許可) 要求値 : LinkDemand; アクセス許可値 : Minimal。

継承階層

System..::.Object
  System..::.Exception
    System..::.SystemException
      System.Runtime.InteropServices..::.ExternalException
        System.Web..::.HttpException
          System.Web..::.HttpRequestValidationException

スレッドセーフ

この型のすべてのパブリック static (Visual Basic では Shared) メンバは、スレッドセーフです。インスタンスメンバの場合は、スレッドセーフであるとは限りません。

プラットフォーム

Windows Vista, Windows XP SP2, Windows XP Media Center Edition, Windows XP Professional x64 Edition, Windows XP Starter Edition, Windows Server 2003, Windows Server 2000 SP4, Windows Millennium Edition, Windows 98

.NET Framework および .NET Compact Framework では、各プラットフォームのすべてのバージョンはサポートしていません。サポートされているバージョンについては、「.NET Framework システム要件」を参照してください。

バージョン情報

.NET Framework

サポート対象 : 3.5、3.0、2.0、1.1

参照

HttpRequestValidationException メンバ

System.Web 名前空間

タグ

: タグの追加

コミュニティコンテンツ

新しいコンテンツの追加

注釈

プロファイル (個人情報) の管理 | お問い合わせ先 | MSDN Flash ニュースレター | 日本での個人情報の取り扱い | サイトマップ