クロスサイトスクリプティングとは
この記事は約 2 分で読めます
クロスサイトスクリプティング (XSS: Cross-Site Scripting) とは、Web ページに 悪意あるスクリプトを注入する攻撃手法です。攻撃者が仕込んだ JavaScript が 被害者のブラウザで実行され、Cookie の窃取、セッションハイジャック、 フィッシングページへのリダイレクトなどが行われます。 Web アプリケーションの脆弱性の中で最も一般的なものの一つです。
XSS の種類
反射型 XSS は URL パラメータに含まれたスクリプトがそのままページに反映される型です。 格納型 XSS はデータベースに保存されたスクリプトが他のユーザーに表示される型で、 より深刻な被害をもたらします。DOM ベース XSS はクライアントサイドの JavaScript の 処理に起因する型です。XSS と Web セキュリティの書籍 (Amazon)で詳しく学べます。
ユーザーとしての対策
ブラウザを最新に保ち、不審なリンクをクリックしないことが基本です。 パスつく.com で生成したユニークなパスワードをサービスごとに使い分けることで、 XSS 攻撃でセッションが乗っ取られても他のサービスへの被害拡大を防げます。 ブラウザの拡張機能で JavaScript の実行を制限することも有効な対策です。ブラウザセキュリティの書籍 (Amazon)も参考になります。