次の方法で共有

テキスト テンプレートのセキュリティ

  • [アーティクル]

テキスト テンプレートには、次のセキュリティ上の懸念事項があります。

  • テキスト テンプレートには、どのようなコードが挿入されるかわからないという脆弱性があります。

  • ホストでディレクティブ プロセッサの検索に使用されているメカニズムが安全でないと、悪意のあるディレクティブ プロセッサが実行される可能性があります。

任意のコード

テンプレートを作成するとき、<# #> タグ内には、任意のコードを記述することができます。 つまり、テキスト テンプレート内から任意のコードを実行できるということです。

テンプレートは、必ず信頼された発行元から入手してください。 アプリケーションのエンド ユーザーには、信頼された発行元のテンプレート以外は実行しないように呼びかけてください。

悪意のあるディレクティブ プロセッサ

テキスト テンプレート エンジンは、変換ホストおよび 1 つまたは複数のディレクティブ プロセッサと対話しながら、テンプレート テキストを出力ファイルへと変換します。 詳細については、「テキスト テンプレート変換プロセス」を参照してください。

ホストでディレクティブ プロセッサの検索に使用されているメカニズムが安全でないと、悪意のあるディレクティブ プロセッサが実行されるおそれがあります。 悪意のあるディレクティブ プロセッサは、テンプレートの実行時に FullTrust モードで実行されるコードを含んでいる可能性があります。 カスタム テキスト テンプレートの変換ホストを作成する場合は、ディレクティブ プロセッサを探すためのエンジンの機構として、レジストリなどの安全なメカニズムを使用してください。