teratail header banner
teratail header banner
質問するログイン新規登録
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

HTML

HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

Q&A

解決済

3回答

9269閲覧

HTMLのhidden属性の危険性について

strokes_1954

総合スコア30

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

HTML

HTMLとは、ウェブ上の文書を記述・作成するためのマークアップ言語のことです。文章の中に記述することで、文書の論理構造などを設定することができます。ハイパーリンクを設定できるハイパーテキストであり、画像・リスト・表などのデータファイルをリンクする情報に結びつけて情報を整理します。現在あるネットワーク上のほとんどのウェブページはHTMLで作成されています。

0グッド

0クリップ

投稿2019/07/24 01:00

0

0

はじめまして。

現在セキュリティについて学習中のものです。
webアプリケーションセキュリティを学ぶ上で一点気になったことがあったので質問させていただきます。

1.前提
IPA iSECの「hiddenは危険https://www.ipa.go.jp/security/awareness/vendor/programmingv1/a01_05.html」というページを閲覧しました

2.疑問を感じた箇所
hiddenフィールドで指定したデータはWWWブラウザには表示されないため安全であるかのように錯覚しがちであるが,実際には他のデータと同様にブラウザに送られている。WWWブラウザに送られたデータは,ユーザによって容易に参照・改竄される可能性があることを認識する必要がある。

3.質問内容(具体的な疑問)
hiddenの値が他のデータ同様に改ざんされるリスクがあることは認識できました。ただ、これって他のデータとリスクは同じで、hiddenを使ったからリスクが高いって結論にならないのでは?と恐らく誤った認識を持っているため質問させていただきました。

質問内容のレベルが低く申し訳ございませんがご確認よろしくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

この資料は2002年と古く、現在は歴史的な資料として公開されているものです。ご認識の通り、hiddenをことさらに危険と捉えることは有害ですらあります。
なので、「昔はこのようなことを言われていたのだな」と読んでいただくのがよろしいかと思います。

投稿2019/07/24 01:15

ockeghem

総合スコア11710

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

strokes_1954

2019/07/24 03:29

毎回ご親切な回答ありがとうございます。 認識が合って安心しました。
guest

0

hiddenだからリスクが高まるとはどこにも書いてないと思います。
ご自身も引用されている通り「ブラウザ上に表示されないから安全だと錯覚する」ということだけがポイントと思います。

投稿2019/07/24 01:04

m.ts10806

総合スコア80888

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

strokes_1954

2019/07/24 03:30

ご回答ありがとうございます。 やはりそこだけが問題点だったのですね。。 お勉強させていただきました。
m.ts10806

2019/07/24 03:31

ヒントになったようで何よりです。
guest

0

参照・改竄される可能性に注目するべきです。逆に改ざんされても良いデータ(検索用の文字列など)ならHiddenでも構いません。

また、Hiddenを使う・使わないに関係なく、サーバーサイドで送られたデータのチェックを行うことでセキュリティを担保します。

蛇足ですが、JavaScriptでブラウザ上でのチェックはUIの向上目的でセキュリティ目的ではありませんので。

投稿2019/07/24 02:07

kurore

総合スコア38

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.30%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問