WEBアプリでのデータチェックのチェック方法について

現在、JavascriptとPHPでWebアプリを制作しています。

データチェックに関して質問します。
サーバーとのやり取りはすべてajaxを使用しています。Formでサーバー側に
送るようなことはしていません。

データのチェックと登録処理は以下のJavascript です。
以下のコードにあるように promise.then で checkDate()とinsertData()を
連結処理しています。

データのチェックはサーバー側のPHPで行っており、インサートする直前に
行っているわけです。
サーバーとの通信はAjaxのみですので、もしブラウザでjavascriptを不可に
していたら、何も処理することができません。

WEBアプリではローカル側とサーバー側の両方でデータチェックを行うべき、
という話をよく耳にしますが、上記のやり方では一度サーバー側で行うだけ
ですが、この方法はセキュリティの観点から問題ないでしょうか。

よろしくお願い致します。

javascript
1// 「登録」ボタンクリック
2// ２つのAjaxの連結　　checkData()　→　insertData()
3function doPersonRegist(){
4
5    if(checkData()){
6
7        // データチェックcheckData()　の結果を変数に
8        var promise = checkData();
9
10        // resolve()の引数で渡した値は、then()の引数で受け取れる
11        promise.then( function(result){
12  
13            // データチェックの結果が OK だったら
14            if (result == "OK"){
15                // インサート処理
16                insertData() ;
17
18            // 重複チェックの結果が NG だったら
19            }else{
20                // アラート表示
21                alert(result);
22                return false;
23            }
24       });
25    }else{
26        // チェックが通らなかったときは→終了
27        return false;
28   }
29}
30

javascript
1// データチェック
2function checkData(){
3   var dfdDc = $.Deferred();
4
5
6   const data = "personLastName=" + $.trim($('#personLastName').val())
7              + "&personFirstName=" + $.trim($('#personFirstName').val())
8		+ "&personMail=" + $.trim($('#personMail').val())
9              + "&personPassword=" + $.trim($('#personPassword').val())
10              + "&confirmPassword=" + $.trim($('#confirmPassword').val())
11              + "&personType=" + $('#personType').val()
12		+ "&personTelNo_1=" + $.trim($('#personTelNo_1').val())
13              + "&personTelNo_2=" + $.trim($('#personTelNo_2').val())
14                + "&personTelNo_3=" + $.trim($('#personTelNo_3').val())
15		+ "&personZipCode_1=" + $.trim($('#personZipCode_1').val())
16                + "&personZipCode_2=" + $.trim($('#personZipCode_2').val())
17                + "&personAddressName=" + $.trim($('#personAddressName').val())
18		+ "&personRole=" + $.trim($('#personRole').val())
19		+ "&personSkillLevel=" + $('#personSkillLevel').val()
20		+ "&personSelfIntroduction=" + $.trim($('#personSelfIntroduction').val());
21
22   $.ajax({
23       type: "POST",
24       url: "../code/validation/CheckPersonTemporary.php",
25       data: data,
26       dataType: 'text',
27   })
28   // 通信成功時の処理
29   .done(function(response) {
30
31       // チェックの結果を resolve の引数で渡す
32    	dfdDc .resolve(response);
33
34   // 通信失敗時の処理
35   }).fail(function() {
36        alert('データチェック検索ができませんでした。管理者にご連絡下さい。');
37   });
38   return dfdDc .promise();
39}
40
41

miyabi_pudding

2020/06/24 01:23

checkData()で何をやっているかによります。このcheckData()のソースコードは記載お願いでしょうか？

sakura_hana

2020/06/24 01:25

ブラウザでJavascriptを不可にしていたらそもそもサーバー側に送信もされないのではないでしょうか？

shaketonori

2020/06/24 02:03

checkDate() の中身について、質問を編集更新しました。 insertData()の内容もほぼ同じです。 checkDate()ではすべての項目を送信してPHP側でデータチェックを行っています。 PHP側のチェック内容は空白チェック，形式チェック，文字チェック等の一般的なものです。説明が足りなくて申し訳ありません。ブラウザ側のjavascriptを不可にしてデータ送信した場合に不正なデータが送信され問題がある、とよくいわれますが、この場合、javascriptを不可にしたとき、そもそもデータを送信できないので上記の指摘は当たりません、という意味で書きました。

miyabi_pudding

2020/06/24 02:21

あれ、key=value&key2=value2 形式って、GETでの送信の仕方だと思いますが、それPOSTで受け取ることできてるんですか？もしかして、GETでの送信になっちゃってませんか？ PHPそこまで精通してるわけではないので、細かいこと知らなくて恐縮なのですが・・・。

shaketonori

2020/06/24 02:28

スミマセン　ワタシも初心者なのでよくわかりません。ただ、この書き方でPHPの方で　$_POST['personLastName']　で受け取れています。この機会にちゃんと調べてみたいと思います。ありがとうございました。

miyabi_pudding

2020/06/24 02:31

あ、そうなのですね。 jQueryでデータ変換してる可能性もありますが、 PHP側でも、POST送信としていれば、key=value形式の文字列もPOSTとして受け取れるのかも。ただ、せっかくPOST送信してるのであれば、オブジェクト形式の方が、内容チェックも含めてやりやすいと思いますよ。

行動規範の内容に同意します

回答3件

WEBアプリではローカル側とサーバー側の両方でデータチェックを行うべき、

という話をよく耳にしますが、上記のやり方では一度サーバー側で行うだけ
ですが、この方法はセキュリティの観点から問題ないでしょうか。

役割が違うので、先に役割を理解したほうが良いかと。

・フロントでのチェック:UX 向上のため
・バックエンドでのチェック：システムとしての正常性確認

POST データは健全なクライアント以外からも簡単に投げられるため、上記のような役割分担になります。

セキュリティ観点では、バックエンドが正しく稼働しているかどうかが鍵です。

少し話はずれますが、クライアントを巻き込んだセキュリティ設計は、CSRF 対策が必要です。
以下の記事は面白いです。
これで完璧！今さら振り返る CSRF 対策と同一オリジンポリシーの基礎

投稿2020/06/24 10:49

編集2020/06/24 10:59

退会済みユーザー

総合スコア0

htmlspecialchars($str, ENT_QUOTES, 'UTF-8');

はセキュリティ対策としては明らかに間違っているので、サーバサイドのチェック（バリデーションと出力時のエスケープ）は見直した方が良いかと思いますよ。

まずはIPAの安全なウェブサイトの作り方

を一度読まれることを強くお勧めします。

WEBアプリではローカル側とサーバー側の両方でデータチェックを行うべき、
という話をよく耳にしますが、上記のやり方では一度サーバー側で行うだけ
ですが、この方法はセキュリティの観点から問題ないでしょうか。

セキュリティ的な観点で言うと、クライアントサイドのJavaScriptやHTTPリクエストは改竄が可能であり、チェックをすり抜けることが容易です。

例えば

サーバーとの通信はAjaxのみですので、もしブラウザでjavascriptを不可に
していたら、何も処理することができません。

と言うのは誤解で、色々な手段で直接HTTPリクエストを生成してサーバに送りつけることは可能です。

結果としてクライアントサイドでのバリデーションはセキュリティ的な要素は出来たらラッキー＆カジュアルな悪意を防ぐくらいの効果を想定して、主な目的なUI/UXの向上を想定すると良いかと思います。

投稿2020/06/24 06:46

tanat

総合スコア18727

ベストアンサー

今のまま、
JS側でのチェックをせずにPHP（サーバー側）に送信していると、
XSSとまでいかなくとも、何かしろで攻撃される危険があるので、
最低限、JS側でも送信内容チェックさせた方がいいです。

投稿2020/06/24 02:24

編集2020/06/24 05:59

miyabi_pudding

総合スコア9555

shaketonori

2020/06/24 05:47

XSSの危険性は悪意あるスクリプトがHTML生成されるときに発生する問題だと認識しています。つまり、入力された悪意あるスクリプト文字列が、データベースに取り込まれ、ブラウザ側に再表示される際に発生する問題だと考えます。今回のケースでは、確かにjavascript側では何等のチェックも行っていませんが、 PHPに取り込まれたら最初に htmlspecialchars($str, ENT_QUOTES, 'UTF-8'); でサニタイジング処理を行っています。（質問の際、ここまでは詳しく説明しませんでした。ゴメンナサイ）そのため、特殊文字が必ずエスケープされてデータベースに取り込まれます。そのため、再表示する際にはサニタイジングされた文字列がブラウザに渡され、 XSSの問題は発生しないんじゃないでしょうか。

miyabi_pudding

2020/06/24 05:57

なるほど・・・。一応、サニタイジングをしている旨は質問本文に記載しといたほうがいいかと思います。（もちろん、最低限やるべきなことではあるのでわざわざ感はありますが、一応）そうですね・・・。ですが、どんな攻撃方法が世の中にあるかわかりませんし、これをやっておけば100%大丈夫、という保証はセキュリティという分野にはありません。（つまり、どこまでやってもやりすぎということはない）私の会社では、必ず、フロントサイドでもバリデーションを行なっています。サーバーサイドでも行うという、ダブルチェックを行なっています。 XSSと具体的に出したのは語弊があったかもしれません、失礼しました。

shaketonori

2020/06/24 06:09

回答ありがとうございました。ローカル（javascript）とサーバー（PHP）で二重のデータチェックを行った際、困ったことにチェックの結果が異なることがまれにあります。そのため、今回、サーバー側のチェックに一本化しようと考えたわけです。ただ、セキュリティについたは「やりすぎ」はありませんね。XSS対策はくどいほどやったほうがいいかもしれませんね。貴重なご意見、ありがとうございました。

miyabi_pudding

2020/06/24 06:12 編集

> ローカル（javascript）とサーバー（PHP）で二重のデータチェックを行った際、困ったことにチェックの結果が異なることがまれにあります。これはよくわかります　汗チームで分かれたりしてると特に起きますよね。なので、フロントとバックのエンジニア同士の連携がけっこうキモになってきます。私の会社では、相違にならないようチーム間でコードレビューや、意見交換をよく行なっています。

行動規範の内容に同意します

あなたの回答