5件
XSS(Cross Site Scripting)とは、検索エンジンなどの動的WEBプログラムなどの脆弱性を突き、サーバーに悪意あるスクリプトを埋め込む攻撃手段である。
概要
例えば、あるサイトに以下のようなJSスクリプトが埋め込まれたとしよう。
<p><script language="javascript" text="text/javascript">alert("警告");window.open("http://www.komapro.net/eye/","EYE");</script></p>
このサイトにアクセスすると上記にスクリプトが実行されて、いきなり警告ダイアログが表示され、その後ウィンドウが開くという予期せぬ状況になる。
対策
サーバー内のスクリプト以外の要求がくると、エスケープ処理するように設定しよう。
つまり、掲示板などで<や;などの記号を入力してもソースコードを見たら⁢などのエスケープ文字に置き換わっているのと同じだ。
関連項目
- JavaScript
- HTML
- インジェクション攻撃 > SQLインジェクション (SQLi)
- プログラミング関連用語の一覧
- Xbox Series S - Microsoftから発売されている第9世代ゲーム機。XSSが略称となっている。
- 2
- 0pt
