【Webアプリケーションのセキュリティ 9】〜 クロスサイトスクリプティング脆弱性 〜 | ScanNetSecurity
2026.05.24(日)

【Webアプリケーションのセキュリティ 9】〜 クロスサイトスクリプティング脆弱性 〜

 cgiなど、動的なWebページ表示をする機構に発生する、クロスサイトスクリプティング脆弱性について、本誌でも何度も取り上げてきたので恐らく皆さんもご存じであろう。クロスサイトスクリプティング脆弱性の特徴は、該当Webサーバ自身は被害を受けず、Web閲覧者が被害

特集 特集
20 views
facebookLINE
 cgiなど、動的なWebページ表示をする機構に発生する、クロスサイトスクリプティング脆弱性について、本誌でも何度も取り上げてきたので恐らく皆さんもご存じであろう。クロスサイトスクリプティング脆弱性の特徴は、該当Webサーバ自身は被害を受けず、Web閲覧者が被害を受けることである。また、最近問題として筆者が注目しているのは、該当ページを閲覧したユーザが、知らないうちに他サイトを攻撃してしまうこともあるということだ。サーバに侵入されることがなく、直接の被害を受けないからといって軽視はできない。Web閲覧者や、攻撃を受けたサイトから訴えられる可能性もある。

 クロスサイトスクリプティング脆弱性のないセキュアなプログラムを開発するのに必要なことは、他のセキュアプログラミングと全く変わりなく、単にユーザ入力されたものをきちんとチェックするというだけのことである。クロスサイトスクリプティング脆弱性が発生するのは、Webへの出力に関してであるから、Web出力時に不都合なデータ内容でないかを検査し、エスケープ処理を行えばよい。

 クロスサイトスクリプティング脆弱性の原因は、ユーザが入力した文字列をWebページとして出力する際に、cgi作成者が全く意図しないHTMLタグやJavaScriptコードが出力されてしまうことである。従って、ユーザ入力された文字列を出力する際に、その文字列にHTMLタグやJavaScriptコードが含まれないように適切にエスケープしなければならない。

office
office@ukky.net
http://www.office.ac/

(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml

《ScanNetSecurity》

特集

PageTop

アクセスランキング

  1. アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

    アメリカ人「近所にデータセンターが建設されるくらいなら原子力発電所が建つ方がまだまし」世論調査結果

  2. 経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

    経済産業省の審議官が感じた日本のサイバーセキュリティに抜けている二つのポイント

  3. ホクヨーにランサムウェア攻撃、システム障害発生するも現在は復旧

    ホクヨーにランサムウェア攻撃、システム障害発生するも現在は復旧

  4. 第一工業にランサムウェア攻撃、情報漏えいした蓋然性は低いものと判断

    第一工業にランサムウェア攻撃、情報漏えいした蓋然性は低いものと判断

  5. イレブンラボ利用の Udemy Business で情報漏えい「10年以上維持してきたドメインの信頼を守るべく法的措置を含めた厳正な対応を検討」

    イレブンラボ利用の Udemy Business で情報漏えい「10年以上維持してきたドメインの信頼を守るべく法的措置を含めた厳正な対応を検討」

ランキングをもっと見る
PageTop
ホーム 特集 特集 記事
TOP