FE SUBJECT A
基本情報技術者 科目Aの問題解説
問題
XSSへの対策として最も適切なものはどれか。
- ウ 出力時のエスケープと入力値検証
- イ バックアップ媒体を遠隔地に保管する
- ア 画像ファイルの解像度を下げる
- エ DBの正規化を第1正規形に留める
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲
正解と解説
正解:出力時のエスケープと入力値検証
正解:出力時のエスケープと入力値検証
考え方:XSSは,掲示板や入力フォームなどに混入したスクリプトが,別の利用者のブラウザで実行されてしまう攻撃である。HTMLとして出力するときに < や > などをエスケープし,危険な入力を検証することで,スクリプトとして解釈されることを防ぐ。
誤答の理由:遠隔地バックアップは災害や障害への対策,画像解像度の変更は表示品質の話,正規化を第1正規形に留めることはDB設計の話であり,ブラウザ上のスクリプト実行対策ではない。
軽い類題:コメント欄に <script> を書かれても画面でただの文字として表示されるなら,出力エスケープが効いていると考えられる。
この問題について
IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。
公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。