Skip to main content

クロスサイトスクリプティング(XSS)

関連するエラー

「このサーバーにはクロスサイトスクリプティング攻撃に対する脆弱性があります。クライアント側(JavaScript)データがセキュアで検証済みであることを確認してください。」

問題

クロスサイトスクリプティングとは、JavaScriptを使用する脆弱なウェブアプリケーションへのウェブ攻撃です。悪意のあるコンテンツは、通常のXSSを発生させるHTMLではなく、ドキュメントオブジェクトモデル(DOM)内の危険なシンクにデータを構築することで、安全ではない、または信頼できないソース経由でJavaScript対応ユーザーに配信されます。

XSS攻撃は、ウェブアプリケーションへの入力データが検証されておらず、ブラウザへの出力データがHTMLでエンコードされていない場合に発生します。

XSS攻撃が成功すると、攻撃者は以下を実行できます。

  • アカウントをハイジャックする。

  • ウェブワームを拡散する。

  • ブラウザの履歴とクリップボードの内容にアクセスする。

  • ブラウザをリモートで制御する。

  • イントラネットアプライアンスとアプリケーションをスキャンして悪用する。

ソリューション

ウェブアプリケーションでXSSエラーを識別して阻止するには、以下を実行します。

  1. ウェブアプリケーションでユーザーブラウザによって入力されたデータを検証します。

  2. ウェブアプリケーションからのユーザーブラウザへのすべての出力をエンコードします。

  3. ユーザーにクライアント側スクリプトを無効にする機能を提供します。