検証付きクライアント コールバックの実装例
更新 : 2007 年 11 月
クライアント コールバックでは、クライアント スクリプト関数が ASP.NET Web ページに要求を送信します。Web ページでは、通常の有効期間のコンパクト バージョンを実行し、コールバックを処理します。コールバック イベントが想定するユーザー インターフェイス (UI: User Interface) から実行されるようにするには、コールバックを検証します。コールバックの検証には、Web ページの描画中の検証に関するイベントの登録と、コールバック中のイベントの検証が関係します。
メモ : |
---|
イベントの検証によって、Web アプリケーションはポストバックの偽造から保護されますが、再生攻撃からは保護されません。より総合的なイベント検証スキームでは、Web アプリケーションに固有の問題と、リソースにアクセスするユーザーのアクセス許可を考慮に入れる必要があります。詳細については、「ASP.NET Web アプリケーションのセキュリティ」を参照してください。 |
ここで説明されている例は、「クライアント コールバックの実装例 (C#)」と「クライアント コールバックの実装例 (Visual Basic)」を拡張します。これらの例で、ListBox1 という ListBox コントロールは、製品一覧を表示するサーバー側コントロールです。HTML <button> 要素 (Button サーバー コントロールではありません) は、コールバックを実行し、製品在庫情報を取得します。この例は、製品が販売中かどうかに関する追加情報を導入し、情報を認証ユーザーのみが表示できるように拡張されています。LoggedInTemplate プロパティが設定された LoginView コントロールが使用され、追加のコンテンツが表示されます。Web ユーザーの匿名ユーザーは、コールバックを実行して在庫情報を取得できます。このとき、ログインしたユーザーも、コールバックを実行して売上情報を取得できます。売上情報のコールバックは、ユーザーが認証されている場合にのみ、イベントの検証用に登録されます。これによって、認証されていないユーザーがコールバックを実行できないようにします。
例
説明
次の例では、Web ページがデータベースのルックアップをエミュレートし、使用できる項目数と、項目が販売中かどうかを確認します。例を単純にするために、データ ストアは 2 つの辞書リストで表されます。実際のアプリケーションでは、代わりにデータベースを使用します。この例は、クライアントのコールバックを検証することで、認証ユーザーのみが実行できるコールバックを匿名ユーザーが実行できないように回避するシナリオを示します。
コード
<%@ Page Language="VB" AutoEventWireup="false"
CodeFile="ClientCallback.aspx.vb" Inherits="ClientCallback" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" >
<head id="Head1" runat="server">
<title>ASP.NET Example</title>
<script type="text/javascript">
function ReceiveServerData(rValue)
{
Results.innerText = rValue;
}
</script>
</head>
<body>
<form id="form1" runat="server">
<div>
<asp:ListBox id="ListBox1" runat="server"></asp:ListBox>
<br />
<br />
<button id="LookUpStockButton" onclick="LookUpStock()">Look Up Stock</button>
<asp:LoginView id="LoginView1" runat="server">
<LoggedInTemplate>
<button id="LookUpSaleButton" onclick="LookUpSale()">Look Up Back Order</button>
</LoggedInTemplate>
</asp:LoginView>
<br />
Item status: <span id="Results"></span>
</div>
</form>
</body>
</html>
<%@ Page Language="C#" AutoEventWireup="true"
CodeFile="ClientCallback.aspx.cs" Inherits="ClientCallback" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML
1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" >
<head id="Head1" runat="server">
<title>ASP.NET Example</title>
<script type="text/javascript">
function ReceiveServerData(rValue)
{
Results.innerText = rValue;
}
</script>
</head>
<body>
<form id="form1" runat="server">
<div>
<asp:ListBox id="ListBox1" runat="server"></asp:ListBox>
<br />
<br />
<button id="LookUpStockButton" onclick="LookUpStock()">Look Up Stock</button>
<asp:LoginView id="LoginView1" runat="server">
<LoggedInTemplate>
<button id="LookUpSaleButton" onclick="LookUpSale()">Look Up Back Order</button>
</LoggedInTemplate>
</asp:LoginView>
<br />
Item status: <span id="Results"></span>
</div>
</form>
</body>
</html>
Partial Class ClientCallback
Inherits System.Web.UI.Page
Implements System.Web.UI.ICallbackEventHandler
Protected catalog As ListDictionary
Protected saleitem As ListDictionary
Protected returnValue As String
Protected validationLookUpStock As String = "LookUpStock"
Protected validationLookUpSale As String = "LookUpSale"
Sub Page_Load(ByVal sender As Object, ByVal e As _
System.EventArgs) Handles Me.Load
Page.ClientScript.RegisterClientScriptBlock(Me.GetType(), _
validationLookUpStock, "function LookUpStock() { " & _
"var lb = document.forms[0].ListBox1; " & _
"var product = lb.options[lb.selectedIndex].text; " & _
"CallServer(product, ""LookUpStock"");} ", True)
If (User.Identity.IsAuthenticated) Then
Page.ClientScript.RegisterClientScriptBlock(Me.GetType(), _
validationLookUpSale, "function LookUpSale() { " & _
"var lb = document.forms[0].ListBox1; " & _
"var product = lb.options[lb.selectedIndex].text; " & _
"CallServer(product, ""LookUpSale"");} ", True)
End If
Dim cbReference As String
cbReference = "var param = arg + '|' + context;" & _
Page.ClientScript.GetCallbackEventReference(Me, _
"param", "ReceiveServerData", "context")
Dim callbackScript As String = ""
callbackScript &= "function CallServer(arg, context) { " & _
cbReference & "} ;"
Page.ClientScript.RegisterClientScriptBlock(Me.GetType(), _
"CallServer", callbackScript, True)
' Populate List Dictionary with invented database data
catalog = New ListDictionary()
saleitem = New ListDictionary()
catalog.Add("monitor", 12)
catalog.Add("laptop", 10)
catalog.Add("keyboard", 23)
catalog.Add("mouse", 17)
saleitem.Add("monitor", 1)
saleitem.Add("laptop", 0)
saleitem.Add("keyboard", 0)
saleitem.Add("mouse", 1)
ListBox1.DataSource = catalog
ListBox1.DataTextField = "key"
ListBox1.DataBind()
End Sub
Public Sub RaiseCallbackEvent(ByVal eventArgument As String) _
Implements System.Web.UI.ICallbackEventHandler.RaiseCallbackEvent
Dim argParts() As String = eventArgument.Split("|"c)
If ((argParts Is Nothing) OrElse (argParts.Length <> 2)) Then
returnValue = "A problem occurred trying to retrieve stock count."
Return
End If
Dim product As String = argParts(0)
Dim validationaction = argParts(1)
Select Case validationaction
Case "LookUpStock"
Try
Page.ClientScript.ValidateEvent("LookUpStockButton", validationaction)
If (catalog(product) Is Nothing) Then
returnValue = "Item not found."
Else
returnValue = catalog(product).ToString() & " in stock."
End If
Catch
returnValue = "Can not retrieve stock count."
End Try
Case "LookUpSale"
Try
Page.ClientScript.ValidateEvent("LookUpSaleButton", validationaction)
If (saleitem(product) Is Nothing) Then
returnValue = "Item not found."
Else
If (Convert.ToBoolean(saleitem(product))) Then
returnValue = "Item is on sale."
Else
returnValue = "Item is not on sale."
End If
End If
Catch
returnValue = "Can not retrieve sale status."
End Try
End Select
End Sub
Public Function GetCallbackResult() _
As String Implements _
System.Web.UI.ICallbackEventHandler.GetCallbackResult
Return returnValue
End Function
Protected Overrides Sub Render(ByVal writer As System.Web.UI.HtmlTextWriter)
Page.ClientScript.RegisterForEventValidation("LookUpStockButton", _
validationLookUpStock)
If (User.Identity.IsAuthenticated) Then
Page.ClientScript.RegisterForEventValidation("LookUpSaleButton", _
validationLookUpSale)
End If
MyBase.Render(writer)
End Sub
End Class
using System;
using System.Data;
using System.Configuration;
using System.Collections;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
public partial class ClientCallback : System.Web.UI.Page,
System.Web.UI.ICallbackEventHandler
{
protected System.Collections.Specialized.ListDictionary catalog;
protected System.Collections.Specialized.ListDictionary saleitem;
protected String returnValue;
protected String validationLookUpStock = "LookUpStock";
protected String validationLookUpSale = "LookUpSale";
protected void Page_Load(object sender, EventArgs e)
{
Page.ClientScript.RegisterClientScriptBlock(this.GetType(),
validationLookUpStock, "function LookUpStock() { " +
"var lb = document.forms[0].ListBox1; " +
"var product = lb.options[lb.selectedIndex].text; " +
@"CallServer(product, ""LookUpStock"");} ", true);
if (User.Identity.IsAuthenticated)
{
Page.ClientScript.RegisterClientScriptBlock(this.GetType(),
validationLookUpSale, "function LookUpSale() { " +
"var lb = document.forms[0].ListBox1; " +
"var product = lb.options[lb.selectedIndex].text; " +
@"CallServer(product, ""LookUpSale"");} ", true);
}
String cbReference = "var param = arg + '|' + context;" +
Page.ClientScript.GetCallbackEventReference(this,
"param", "ReceiveServerData", "context");
String callbackScript;
callbackScript = "function CallServer(arg, context)" +
"{ " + cbReference + "} ;";
Page.ClientScript.RegisterClientScriptBlock(this.GetType(),
"CallServer", callbackScript, true);
catalog = new System.Collections.Specialized.ListDictionary();
saleitem = new System.Collections.Specialized.ListDictionary();
catalog.Add("monitor", 12);
catalog.Add("laptop", 10);
catalog.Add("keyboard", 23);
catalog.Add("mouse", 17);
saleitem.Add("monitor", 1);
saleitem.Add("laptop", 0);
saleitem.Add("keyboard", 0);
saleitem.Add("mouse", 1);
ListBox1.DataSource = catalog;
ListBox1.DataTextField = "key";
ListBox1.DataBind();
}
public void RaiseCallbackEvent(String eventArgument)
{
string[] argParts = eventArgument.Split('|');
if ((argParts == null) || (argParts.Length != 2))
{
returnValue = "A problem occurred trying to retrieve stock count.";
return;
}
string product = argParts[0];
string validationaction = argParts[1];
switch (validationaction)
{
case "LookUpStock":
try
{
Page.ClientScript.ValidateEvent("LookUpStockButton", validationaction);
if (catalog[product] == null)
{
returnValue = "Item not found.";
}
else
{
returnValue = catalog[product].ToString() + " in stock.";
}
}
catch
{
returnValue = "Can not retrieve stock count.";
}
break;
case "LookUpSale":
try
{
Page.ClientScript.ValidateEvent("LookUpSaleButton", validationaction);
if (saleitem[product] == null)
{
returnValue = "Item not found.";
}
else
{
if (Convert.ToBoolean(saleitem[product]))
returnValue = "Item is on sale.";
else
returnValue = "Item is not on sale.";
}
}
catch
{
returnValue = "Can not retrieve sale status.";
}
break;
}
}
public String GetCallbackResult()
{
return returnValue;
}
protected override void Render(HtmlTextWriter writer)
{
Page.ClientScript.RegisterForEventValidation("LookUpStockButton",
validationLookUpStock);
if (User.Identity.IsAuthenticated)
{
Page.ClientScript.RegisterForEventValidation("LookUpSaleButton",
validationLookUpSale);
}
base.Render(writer);
}
}
コメント
この Web ページでは、モニタやキーボードなどの一連の製品の有効な在庫項目の数を確認するためにデータベース ルックアップをエミュレートします。このコード例では、簡略化のためにデータベースは少数の項目を含む辞書式のリストで表されています。テーブルの各項目のキーはモニタなどの項目の名前で、値は項目の在庫数です。実際のアプリケーションでは、代わりにデータベースを使用します。
このページが実行されると、ListBox コントロールがハッシュ テーブルにバインドされ、ListBox コントロールに製品の一覧が表示されます。認証ユーザーの場合、onclick イベントが LookUpStock というクライアント関数と LookUpSale というクライアント関数に、それぞれバインドされている 2 つの HTML <button> 要素を使用してページが描画されます。匿名ユーザーの場合、ページは 1 つの HTML <button> 要素のみを使用して描画されます。この onclick イベントは LookUpStock にバインドされます。LoginView コントロールは、表示するボタンを指定するために使用されます。このページでオーバーライドされる Render イベントでは、検証用のボタンが登録されます。ユーザーが認証されていない場合、LookUpSale のコールバックを開始するボタンは登録されず、コールバックが試行されると失敗します。
分離コード ページは、RegisterClientScriptBlock メソッドを使用してクライアント側スクリプトをページに追加します。ページに追加されるスクリプトには CallServer という関数があり、この関数は GetCallbackEventReference メソッドからサーバーにポストバックするメソッドの名前を取得します。
クライアント コールバックは RaiseCallbackEvent メソッドを呼び出し、このメソッドは渡された製品の有効在庫を確認します。GetCallbackResult メソッドはその値を返します。クライアント スクリプトとサーバー コード間でやり取りする引数は文字列にする必要があることに注意してください。複数の値を渡す場合、または受け取る場合、それぞれ入力または戻り値の文字列で値を連結できます。
セキュリティに関するメモ : |
---|
Web ページとクライアント コールバックで、重要情報の表示や、データの挿入、更新、または削除を扱う場合、コールバックを検証して、目的のユーザー インターフェイス要素がコールバックを実行していることを確認するようにしてください。 |
参照
処理手順
方法 : ASP.NET Web ページにコールバックを実装する
概念
ASP.NET Web ページでポストバックせずにプログラムによってクライアント コールバックを実装する
クライアント コールバックの実装例 (Visual Basic)