Wordpressでログインなしの質問・回答形式の掲示板を作成しております。
参考サイトにあるようにセッションで入力画面 → 確認画面 → 登録処理を行っていて、ページ遷移に該当するため攻撃を受けないか不安です。
ログイン制を導入していないため個人情報保護の義務はないと思うのですが、各攻撃の対策は必要でしょうか?
クロスサイト・スクリプティングに記載してある対策の1つとして、<script>...</script> 要素の内容を動的に生成しないと書いてあるのですが、今後回答画面を作る際にJavascriptでHTMLクラスを書き換えて入力画面と確認画面のHTMLを動的に切り替えようと考えているため、そちらを対策すべきかアドバイスお願い致します。
※クロスサイト・スクリプティング
https://www.ipa.go.jp/security/vuln/websecurity/ …
※クロスサイト・リクエスト・フォージェリ
https://www.ipa.go.jp/security/vuln/websecurity/ …
※HTTPヘッダ・インジェクション
https://www.ipa.go.jp/security/vuln/websecurity/ …
※該当コード
https://wandbox.org/permlink/O3xpi6vJpg0Q7HKp
No.1ベストアンサー
- 回答日時:
規模の大小や商用個人用を問わず、
全てのウェブサイトに全ての脆弱性対策が必要です。
すくなくとも IPA が公開している「ウェブ健康診断仕様」全項目はパスしましょう
https://www.ipa.go.jp/security/vuln/websecurity/ …
脆弱性があるウェブサイトを放置して攻撃されたままにすると、
もはやサイトが存在するだけで害悪となってしまいます。
事例) ウェブが攻撃により改竄されボット感染源にされる
https://xtech.nikkei.com/it/pc/article/news/2008 …
画面を動的に切り替える js を多用するのは何ら問題ありません
js の読み込みを php で制御するのも問題ありません
js 文中に php を埋め込むのは避けるべきでしょう
回答ありがとうございます、画面を動的に切り替える js について勉強になりました。ありがとうございます、ログイン画面がない場合のお問い合わせフォームを参考質問と同じように作成しているのですが、クロスサイトスクリプティングとクロスサイトリクエストフォージェリの対策はやはり必要でしょうか?
※参考サイト
https://sakurug.co.jp/news/3222/
※参考質問
https://teratail.com/questions/71592
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- PHP ファイルアップロードに関してのセキュリティについてアドバイスお願い致します 1 2023/08/20 00:25
- PHP 「ログイン機能を持たせる」説明が気難しいです。 2 2022/10/11 02:59
- JavaScript 入力フォームの javascript で メールアドレスの正規チェックをを行い、ボタンをクリックして 2 2022/04/27 16:06
- MySQL 「掲示板のログイン画面」はPHP~MySQLに「データベース認証のシステム」方式です。 1 2022/09/27 05:00
- JavaScript ①入力フォーム→②確認表示画面→③送信完了画面のコードを書いているのです、 入力フォームから受け取っ 2 2022/05/10 16:45
- 所得税 電子税?のメールについて教えてください 8 2022/09/04 21:38
- PHP php 入力画面から確認表示画面へ情報の受け渡しについて。 1 2023/06/07 18:00
- PHP ファイルの遷移がうまく行われているのかわからない 1 2022/12/21 20:02
- HTML・CSS ボタンをクリックした時に、入力フォームのすぐ下部に、「入力欄が空白です」というテキストメッセージが表 1 2022/04/27 16:25
- JavaScript jQueryでのドラッグアンドドロップについて 1 2022/07/07 21:04
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
複合機から自動的にFAXを送る方...
-
大学の出欠確認でQRコードを読...
-
コンボボックの連携について
-
ウェブサイト上のボタンを自動...
-
クレジットカード申し込みの際...
-
アイフォン使ってたらちょくち...
-
ヤフージャパンへの問合せ 「次...
-
複数行に対しての更新処理方法
-
MW WP Form 確認画面の遷移に...
-
WordPressで画面還移なしの掲示...
-
メール送信フォームとhistory.b...
-
フォームの要素がつかむ値の変...
-
ビジネスメールの敬称
-
テキストボックスの番号を使っ...
-
EXCEL VBA で指定した範囲に入...
-
Excel-VBAでInputBox+Pulldown...
-
数字以外の入力をエラーにする...
-
DATE型変数を初期化する方法
-
初歩的な事だと思います。 Sub...
-
エクセルVBA テキストボックス...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ページ移動した場合の、フォー...
-
アイフォン使ってたらちょくち...
-
メール送信フォームとhistory.b...
-
htmlからbatファイルを起動する
-
大学の出欠確認でQRコードを読...
-
ウェブサイト上のボタンを自動...
-
php 確認表示画面で値をSESSION...
-
値だけ送信してページは遷移さ...
-
PHPでメール入力画面→送信完了...
-
ワードプレスプラグイン MW WP ...
-
お問い合わせフォームの作成
-
VB2005 複数のフォームを同時...
-
ブラウザで「戻る」「進む」で...
-
戻ると入力したフォームの内容...
-
非同期通信で掲示板を作る際の...
-
PHPでフォームを作ってますが、...
-
メールフォームの確認画面が表...
-
子画面から親画面に値を返す方法
-
ヤフージャパンへの問合せ 「次...
-
入力フォームから受け取ったテ...
おすすめ情報
アドバイスありがとうございます、お聞きしたいことがあります。
掲示板やメールフォームなどセッションを使う場合、
入力(index.php) → 確認(confirm.php) → 送信(send.php) と画面を遷移する流れになっていますが、
入力 (index.php経由のinput.php)、
確認(index.php経由のconfirm.php)、
送信(index.php経由のsendmail.php)となっていて全てindex.phpを経由している場合、
直接sendmail.phpへPOSTされても、最初の判定で無視されるので大丈夫という見解は間違えでしょうか?
もし対策になるのであれば掲示板も全て参考コードのようにindex.phpを通すように作り変える予定です。
※参考コード
https://ara-web.net/blog/wordpress/post-3683/