XSS(クロスサイトスクリプティング) | IT用語

クロスサイトスクリプティングとは、【XSS：Cross Site Scripting】の略称で、Webアプリケーションの脆弱性を狙い、訪問者のWebブラウザに悪意のあるコードを表示させる攻撃手法です。

掲示板などを例に考えてみましょう。運営者が入力された投稿文を適切な処理をせずにブラウザに表示させていたとしましょう。そこへ悪意のある攻撃者が他のサーバーへ攻撃を仕掛ける危険なJavaScriptコードを投稿したとします。そのコードを含んだ投稿内容が適切な処理をされずそのままブラウザに表示される場合、その掲示板を訪れたユーザーは、投稿された悪意のあるJavaScriptコードを実行させることになり、知らず知らずに他のサーバーを攻撃することになります。

クロスサイトスクリプティングは、投稿などの入力値に HTML や JavaScript などが記述されている場合に、適切なエスケープ処理をしないで表示(出力)してしまうことで発生します。攻撃者は、入力値に悪意のあるJavaScriptなどを記述し、Webアプリケーションのページ内にコードを埋め込みます。その結果、コードを埋め込まれたページを表示した他のユーザーのセッションIDを盗んだり、他のサーバーへ攻撃をさせたりします。

クロスサイトスクリプト攻撃に対する脆弱性は入力を適切にエスケープしないで出力した際に発生します。これは、入力を適切にフィルタし、出力を適切にエスケープすることで回避することが出来ます。