PR
PR
クロスサイトスクリプティングとは
クロスサイトスクリプティング(XSS)は、Webサイトの不備を突き、ページにJavaScriptなどのスクリプトを混ぜ込んで、閲覧者のブラウザで不正な処理を走らせる攻撃です。サイトそのものではなく、利用者の画面上で悪意のコードが動く点が特徴です。
掲示板や問い合わせフォームのように、利用者の入力をそのまま表示するサイトで起きやすいです。攻撃者がコメントやURLに細工し、サイトが適切に無害化しないと、読み込んだ人の画面でスクリプトが実行されます。結果として、クッキーや個人情報の盗み取り、偽の画面表示、勝手な操作が生じます。
手口には、保存データ経由、リンクに仕込む反射型、DOMを悪用する型があります。いずれも「信頼したサイトの文脈で悪意のコードが動く」ことを利用しています。
開発者は、入力の検証と出力エスケープ、CSPの導入、CookieのHttpOnly設定などで対策します。利用者も、不審なリンクを開かないことや、ブラウザを最新に保つことが有効です。XSSは小さな欠陥から重大事故に広がるため、早めの対策が重要です。
