ASP.NET Core で Open Redirect 攻撃を避けるために LocalRedirect / IsLocalUrl を使う - しばやん雑記
ちょっと前に ASP.NET Core で Open Redirect の脆弱性が見つかって修正したという話が出てました。 歴史的に ASP.NET は Open Redirect の脆弱性が多い気もしますが、デフォルトの挙動が ReturnUrl を受け取り、それを使うという形なので注意したい部分ではあります。 JVNDB-2011-003557 - JVN iPedia - 脆弱性対策情報データベース 今回の ASP.NET Core の脆弱性は IsLocalUrl のチェックに問題があったようなので、正しく使っていても影響を受けたという悲しい感じですが、そもそも正しく使えていなければ意味がないので書きます。 Open Redirect 攻撃を受ける例 よくあるログイン前にいたページに、ログイン後戻るコードを含むアクションです。ASP.NET では歴史的に ReturnUrl という
ASP.NET の Async SessionState Module を試してみる - しばやん雑記
あまり使うつもりがなかったというか、対応したセッションプロバイダーが In-Memory と SQL Server ぐらいしかなかったので触れていなかったですが、ASP.NET 4.6.2 から非同期対応の SessionState Module が使えるようになっています。 全然情報を見なかったのと、Cosmos DB のプロバイダーが出たので調べました。 単純に Task ベースで書き直されたという感じですが、モダンなストレージクライアントでは Task を使うのが当たり前という状況なので、新しいプロバイダーは作りやすくなったと思います。 ちなみに 1.1.0 から非同期以外にロックなしのセッションに対応しています。以下のブログで紹介はされていますが、このタイトルで SessionState Module の新機能が紹介されているとか気が付かないです。 ASP.NET のセッションはス
OpenID Connect に対応した LINE Login を ASP.NET Core 2.0 からお手軽に使ってみる - しばやん雑記
LINE のイベントで LINE Login が OpenID Connect に対応したという発表があったようです。 昔に比べると、簡単に LINE Login の設定が出来るようになっているので、今後は色々な部分での採用が広がりそうな気もします。OpenID Connect 対応は特に重要なアップデートだと感じますね。 Integrating LINE Login with your web app 既に IdM の凄い人は試しているようでしたし、最近は ASP.NET Core 2.0 で OpenID Connect について調べてたので、ついでに試してみることにしました。 LINE Login の設定をする LINE Developers から LINE Login を追加すると Channel Id と Channel Secret が貰えます。 テスト用に適当な名前で追加しま
Elastic Beanstalk のデプロイマニフェストを使って IIS 設定とデプロイをカスタマイズする - しばやん雑記
ASP.NET アプリケーションのデプロイでは MSDeploy パッケージをそのままアップロード、ASP.NET Core アプリケーションのデプロイではマニフェストを用意してアップロードします。 前に ASP.NET Core アプリケーションをデプロイする時に使いました。 ドキュメントではデプロイマニフェストを ASP.NET Core に対して使っている例ばかりですが、MSDeploy パッケージに対してもデプロイマニフェストを使ってカスタマイズが行えるので調べました。 1 つの Elastic Beanstalk に対して複数の仮想アプリケーションをデプロイすることも簡単に出来ます。 Customizing ASP.NET Core Deployments | AWS Developer Blog 非常に面白いのが、MSDeploy パッケージと ASP.NET Core のデプ
Application Insights を Elastic Beanstalk にデプロイした ASP.NET アプリケーションから利用してみる - しばやん雑記
わざわざ Application Insights を Azure 以外から使う理由があるのかと言われそうですが、Application Insights Basic の課金はよくある APM のホスト数での課金ではなく、容量課金となっているので頻繁にインスタンスを使い捨てる場合などで、使いやすいことがあります。 Enterprise の場合はホスト数での課金 + 容量課金となるので少し注意です。 Application Insights 自体は Azure に限定したものではなく、オンプレミスや他のサービスでも使えるようになっているので問題ありません。設定は Visual Studio で完結します。 Azure Portal から Application Insights を単体で作成します。ASP.NET アプリケーションを選びます。 リソースを作成したら、Visual Studio
App Engine Flexible Environment で ASP.NET Core アプリケーションを動かしてみる - しばやん雑記
少し前に Google Cloud Platform の App Engine Flexible Environment でも ASP.NET Core アプリケーションの実行に対応したと聞いたので、一通り作成からデプロイまで試しておきました。 App Engine Flexible Environment については良くわかってなかったですが、任意の Docker Image を実行できる App Engine に管理された VM ということらしいです。 Flexible Environment は正式リリースされてますが、ASP.NET Core サポートはまだベータです。 Visual Studio 2017 向けの拡張機能が用意されているので、これを使えば簡単に GCP に対応した ASP.NET Core アプリケーションを作成することが出来ます。 AWS / Azure / G
AppVeyor が Windows Server 2016 に対応したので Docker を使うための下調べをする - しばやん雑記
2 か月ほど前になりますが、AppVeyor が Visual Studio 2017 と Windows Server 2016 が使えるワーカーイメージの提供を開始しました。 AppVeyor に限らず Windows Server 2016 対応はどのサービスも遅い気がしますね。 "Visual Studio 2017" image with VS 2017 RTM and Docker is now available: https://t.co/UkDXMGehPP— AppVeyor CI (@appveyor) 2017年3月10日 既に試している人もいますが、Docker 周りの状況も当時と変わってきているので改めて調べます。 最終的な目標は AppVeyor 上で ASP.NET アプリケーションの Docker Image をビルドして、Docker Hub や Azu
CircleCI を使って Elastic Beanstalk 向けに Windows Server の Custom AMI を作成する - しばやん雑記
少し Elastic Beanstalk の環境構築を ebextensions だけで行う限界を感じ始めたので、専用の Custom AMI を作成する方法を少し調べて試していました。公式ドキュメントにある手順で基本的には問題ないです。 Windows は例によって sysprep が必要だったり、少し Linux に比べて面倒で時間がかかる印象です。 Elastic Beanstalk の AMI はコミュニティ AMI として公開されているので、その AMI を使って EC2 インスタンスを起動して、あとは RDP などで自由に弄ってから AMI を作り直す。という感じです。 Windows Server 2012 R2 に関しては現時点では以下の AMI が最新です。 ami-3df7995a 64bit Windows Server 2012 R2 v1.2.0 running
ASP.NET Core MVC で大きく変わったフィルタについて調べた - しばやん雑記
仙台に行ったとき、ぼんぷろおじさんに ActionFilter で実行時にオプションを扱う場合にどうすればいいのか聞かれて、フィルタ周りまとめないといけないことを思い出したので書きます。 思いのほか長くなってしまったので、久し振りに目次記法を使うことにします。 パイプラインの整理 抽象クラスを利用する方法 インターフェースを実装する方法 DI を利用する グローバルで利用する IFilterFactory を実装した属性を用意する 今回のまとめ パイプラインの整理 ASP.NET Core MVC ではフィルタパイプラインが再実装されて、分かりやすくシンプルになりました。パイプラインに関しては公式ドキュメントの図が分かりやすいです。 新しく Resource Filter が追加されて、キャッシュなどパフォーマンスの改善といった処理を書きやすくなっています。モデルバインディングの前に実行さ
MacBook Pro + Boot Camp でも Windows Hello が使いたい - しばやん雑記
秋葉原のマウスショップに当日行けなかった負け組なので、在庫があった錦糸町のヨドバシで受け取り予約をして、今日の仕事帰りに買ってきました。 これまで写真で見た感じでは小さめかと思っていましたが、まあまあの大きさでした。 mouse USB顔認証カメラ Windows Hello 機能対応 CM01 マウスコンピューターAmazon 自宅の MacBook Pro に Boot Camp で Windows 10 をインストールしてあるマシンに付けようと思って、色々とセットアップを進めていきました。ドライバーはダウンロードしないといけないので注意ですね。 私は刺せば動くものだと思っていて、まともに説明書を読んでいなくて悩みました。 気を取り直してダウンロードしてきたドライバーをインストールしたところ、カメラ系が全て動かなくなってしまいました。イベントログを見るとエラーで中々凄いことになっていま
京都合宿に参加して URL Rewrite Visualizer を作った話 - しばやん雑記
4 月からお手伝いしている一休.comの開発メンバーが、京都で 2 泊 3 日の開発合宿するという話を聞いたので、密かに紛れ込んできました。 事前に予習が必要だったのですが、数話だけ見た状態で合宿に突入しました。 青春全部プログラミングにかけた結果が俺です— しばやん (@shibayan) 2016年8月11日 ウッ— しばやん (@shibayan) 2016年8月11日 ちはやふるに関しては他の人がまとめてくれると信じているので割愛します。競技かるたをすると 1 日で 3kg 痩せると聞いてダイエットクラスタが騒めきました。 作ったもの Visual Studio には Directed Graph Markup Language (DGML) というファイルを操作する機能が用意されているので、それを利用して URL Rewrite のルール依存関係を表示するツールを作りました。 例
IIS Express TestKit で使う設定を XML Document Transform を使って操作するようにしてみた - しばやん雑記
ぼちぼち改善している IIS Express で URL Rewrite のテストを書くパッケージですが、設定周りに柔軟性が無くかなりイマイチだと思っていたので XML Document Transform を使って改善しました。 NuGet に公開している最新版では XDT が使えるようになっています。 これまでのバージョンでは system.webServer の rewrite 部分のみ変更可能で、定義したファイルには rewrite 以下の設定を 1 つにまとめる必要がありました。 IIS Express TestKit ではデフォルトで以下のような Web.config を生成するので、発想としては Visual Studio の発行時の処理と同じです。この定義に対して XDT で追加を行うわけです。 <?xml version="1.0" encoding="utf-8"?>
IIS Express と xUnit を使って URL Rewrite のテストを書く - しばやん雑記
ASP.NET というか IIS を使ってアプリケーション開発を行っている場合、一度はお世話になっていると思う URL Rewrite ですが、割と書き方が難しいです。 IIS Manager にパターンのテストツールはありますが、大した機能は持ってません。 パターンをテストした後は、実際にアクセスして確かめるという手順を踏む場合が多いと思いますが、IIS 以外には自動で行うためのツールも用意されているみたいでした。 mod_rewrite 向けにはあるのに、IIS の URL Rewrite 向けにはないことにショックを受けたので、土日を利用して同じような機能を持つライブラリを書きました。 仕組みとしては IIS Express を裏側で立ち上げて、リクエストを投げているだけです。IIS Express はフルの IIS と同じ機能が使える上、コマンドラインから単体実行が簡単に行えるので
IIS Express TestKit で Outbound Rules のテストを書けるようにした話 - しばやん雑記
前回作った IIS Express TestKit が Inbound の一部にしか対応出来ていなかったので、少し気合を入れて利用範囲を広げる対応を行いました。はいふりが始まる前だったので少し急ぎました。 タイトルにも書いたように Outbound Rules に対するテストが書けるようになりました。Outbound Rules については IIS 公式サイトにドキュメントがあるので紹介しておきます。 Creating Outbound Rules for URL Rewrite Module : The Official Microsoft IIS Site Using Outbound Rules to add Web Analytics tracking code : The Official Microsoft IIS Site ざっくりと説明するとレスポンスをルールベースで書き換
ASP.NET 4.5 で MachineKey の扱いが微妙に変わっていた - しばやん雑記
全く気が付かなかったんですが、ASP.NET 4.5 では MachineKey を使った暗号化の処理が拡張されていて、それによってフォーム認証のチケットの互換性が無くなっていました。 最初は原因が全く分からなかったので色々と試したのですが、どうやら ASP.NET 4.5 向けにプロジェクトを作成すると、自動的に生成される Web.config に以下のように記載された targetFramework の値によって挙動が変わるようでした。 <httpRuntime targetFramework="4.5" /> <compilation debug="true" targetFramework="4.5" /> つまり httpRuntime 要素の targetFramework 属性の値が "4.5" の場合には、自動的に新しい方式が使われるので ASP.NET 4.5 より古いア
ASP.NET Web API でアップロードされたファイルを扱う方法を知らなかったので調べた - しばやん雑記
ASP.NET MVC でファイルアップロードを実装する場合は、モデルバインダが HttpPostedFileBase クラスなどに自動的にバインドしてくれていましたが、Web API だとそこまで面倒は見てくれないみたいです。 これまで Web API での実装方法を知らなかったですが、今回ついに観念して調べました。 Sending HTML Form Data in ASP.NET Web API: File Upload and Multipart MIME | The ASP.NET Site MultipartFormDataStreamProvider クラスを使うとアップロードされたファイルをストレージ上に保存してくれるみたいですね。メモリストリームとして扱い続けるよりも楽な感じがします。 サンプルコードでは App_Data に入れてましたが、個人的に Temp のが良い気
ASP.NET 5 と Visual Studio 2015 では Bower と Grunt が標準になるみたいなので勉強してみた - しばやん雑記
ASP.NET 5 と Visual Studio 2015 Preview では Bower と Grunt、そして npm へ標準で対応するようになりました。今後は ASP.NET 5 開発で必要となってくる知識になるので、簡単に調べてみました。 既に ASP.NET 公式サイトでは Visual Studio 2015 で Bower と Grunt を使う記事が公開されてます。 ASP.NET Core Blazor | Microsoft Learn これまでは NuGet だけ使っていれば解決してましたが、今後は .NET のコンポーネントだけが NuGet で提供され、クライアントサイドのコンポーネントは Bower を使うようになるのでしょう。 テンプレートにも Bower / Grunt / npm の設定ファイルが用意されていますが、まずは Bower と Grunt
ASP.NET で自動的に発行されるクッキーの名前を変更する方法 - しばやん雑記
今日はちょっとした ASP.NET のクッキーに関する小ネタです。 ASP.NET は特別な設定などをしなくても自動的にクッキーを発行して、認証状態やセッション、そして CSRF 対策を行ってくれます。これは非常に便利なんですが、その時に発行されるクッキーの名前が割とイケてないので、変更する方法をまとめておきます。 フォーム認証クッキー FormsAuthentication.SetAuthCookie を呼び出した時に発行されるクッキーです。 デフォルトの名前は ".ASPXAUTH" なので、結構見たことある人は多いと思います。設定は Web.config の forms 要素にある name 属性を指定して行います。 <system.web> <authentication mode="Forms"> <forms name="auth" timeout="2880" /> </au
ASP.NET MVC でブラウザにページをキャッシュさせない方法 - しばやん雑記
ASP.NET MVC には OutputCache 属性が用意されているので、多少は Cache-Control ヘッダを弄ることが出来ます。 [OutputCache(Location = OutputCacheLocation.None, NoStore = true)] public ActionResult Index() { return View(); } しかし、OutputCache 属性では no-cache と no-store しか出力されないので、ブラウザの戻るなどを使った場合にはキャッシュ済みのページが表示されてしまいます。 この挙動はログイン・ログアウト周りで割と困ります。なので、クライアント側でキャッシュさせないための属性を作りました。 public class NoClientCacheAttribute : ActionFilterAttribute {
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
