クロスサイト・スクリプティングとは? †
- クロスサイト・スクリプティングとは、HTML や XML の特性を利用して Web サイトの脆弱性を突くクラッキング手法
- フォームなどへの入力時に不正な文字列(スクリプト)を打ち込むことによって Cookie の中身が別のサイトに転送され、その結果、第三者が正規のユーザになりすますといった行為を可能とさせる。 これによって、システム内にある個人情報が外部に漏洩されるという危険性が大きくなる。
- 他のサイトにまたがってスクリプトが実行されることから、クロスサイト・スクリプティングと呼ばれる。
原因と対策 †
クロスサイト・スクリプティングは、変数や文字列の値を画面上に出力する際、HTML などのマークアップ言語で定義されている一部の特殊文字をエスケープ出力させなければならない処理を、コンテンツの開発者が実装し忘れてしまうことが大きな原因となっている。
エスケープ出力させなければならない処理 †
| < | & lt; |
> | & gt; |
& | & amp; |
' | & #039; |
" | & #034; |