XSS（クロスサイトスクリプティング）とは何ですか？

Webサイトに悪意のあるスクリプトを注入して、ユーザーの情報を盗んだり不正操作を行う攻撃手法。

XSS（クロスサイトスクリプティング）のポイントは？

OWASP Top 10の常連で、最も一般的なWeb脆弱性の一つ。Stored XSS、Reflected XSS、DOM-based XSSの3種類。対策は出力エスケープ、CSP（Content Security Policy）、入力バリデーション。ReactやVueなどのフレームワークは自動エスケープ機能を備えている

【くろすさいとすくりぷてぃんぐ】

XSS（クロスサイトスクリプティング）とは？

💡 Webページに「罠のスクリプト」を仕込む攻撃

📌 このページのポイント

OWASP Top 10の常連で、最も一般的なWeb脆弱性の一つ
Stored XSS、Reflected XSS、DOM-based XSSの3種類
対策は出力エスケープ、CSP（Content Security Policy）、入力バリデーション
ReactやVueなどのフレームワークは自動エスケープ機能を備えている

Webページにスクリプトを注入して情報を盗む攻撃手法

ひよこ

XSSってどんな攻撃？

ペンギン先生

掲示板のコメント欄に「<script>document.cookie をハッカーのサーバーに送信</script>」と投稿すると、そのページを見た他のユーザーのブラウザでスクリプトが実行されて、Cookieが盗まれる。盗んだセッション Cookieでそのユーザーになりすましてログインできてしまうんだ

ひよこ

3種類の違いは？

ペンギン先生

①Stored XSS（サーバーに保存されて全訪問者に影響。掲示板やコメント）、②Reflected XSS（URL パラメータに仕込んでリンクをクリックさせる）、③DOM-based XSS（JavaScriptのDOM操作で発生。サーバーを介さない）。Storedが最も危険で、影響範囲が広いよ

ひよこ

対策方法は？

ペンギン先生

①出力エスケープ（HTMLに出力する際に<>&"をエスケープ）が最重要。ReactはJSX内で自動エスケープしてくれる。②CSP（Content Security Policy）ヘッダでインラインスクリプトの実行を禁止、③httpOnly Cookieでスクリプトからのアクセスを防止、④入力バリデーション。多層防御が大事だよ

ひよこ

dangerouslySetInnerHTMLって危険？

ペンギン先生

名前の通り危険だよ。Reactの自動エスケープをバイパスしてHTMLを直接挿入する機能。ユーザー入力をdangerouslySetInnerHTMLに渡すとXSS脆弱性になる。どうしても使う場合はDOMPurifyなどのサニタイザーで事前にHTMLを浄化してから渡すこと。可能なら使わない方がいいね

まとめ：ざっくりこれだけ覚えればOK！

「XSS」って出てきたら「Webページに不正なスクリプトを埋め込む攻撃」と思えればだいたいOK！

📖 おまけ：英語の意味

「Cross-Site Scripting」＝クロスサイトスクリプティング

💬 CSSと区別するためにXSSと略される。別のサイト（Cross-Site）からScriptを注入する攻撃だよ

← 用語集にもどる

XSS（クロスサイトスクリプティング） とは？

XSS（クロスサイトスクリプティング）とは？