■ ビュー

1) Html.Raw()の使用

以下のケースに限る。

 * 文字列がエンコード済みである
 * 安全な文字列であることが予めわかっている

 => ユーザからの入力値、データベースなどから取得した値は、
    クロス・サイト・スクリプティング対策として、@Xxxx で出力する事

2) エラーページ

 * 例外情報は表示しない(ログファイルなどに出力する)

■ コントローラ

1) アクションとして使用しないPublicメソッドについて

 * アクションとして使用しないPublicメソッドがある場合、NonAction属性を付与すること
 => そもそもPublicメソッドが必要かも検討した方がいい

2) 入力フォーム画面におけるコントローラ

 * 入力フォームには、ValidateAntilForgeryToken属性で
   クロス・サイト・リクエスト・フォージェリ対策を行う

3) Fileメソッドの引数について

で使用している Fileメソッドの引数「パス」は、パス トラバーサル対策として
ユーザ指定させない(ファイル名も)

4) HandleError属性について

 * HandleError属性で、カスタム・エラー・ページを有効にする

■ モデル

1) ユーザ入力値の検証

 * ユーザ入力値は、ラジオボタンやSelectボックスなどの選択するコントロール含めて、
   検証する（これは、知らなかった）

■ データベース関連

1) データベースへのアクセス

 * データベースへのアクセスは、SQLインジェクション対策として、
   LINQ to Entitiesをなるべく利用する

2) データ削除

 * データ削除は、HTTP GET経由ではなく、HTTP POST経由で行う

■ その他

1) クッキーについて

 * HttpOnlyプロパティを有効にする
 * SSL通信環境下では、Secureプロパティを有効にする

2) ファイルアップロード

 * ファイルアップロードする場合、ファイルの種類やファイルサイズをチェックすること

3) サイトのフォルダ構成について

 * エンドユーザーがアクセスする必要のないログファイル、設定ファイルなどは、
   App_Dataフォルダに配置すること

関連記事

セキュリティ攻撃一覧