本文へスキップ
お問い合わせ

テクノロジ系 / セキュリティ

クロスサイトスクリプティング対策

クロスサイトスクリプティング対策は、利用者入力をWebページに表示するときに不正スクリプトを実行させないための対策です。

もう少し詳しく

XSSは攻撃そのものですが、この用語ではその防止策を扱います。代表的な対策は、HTMLへ出力する際のエスケープ、属性値・URL・JavaScript文脈に応じた適切な処理、入力値の検証、CookieのHttpOnly属性、CSPの利用などです。SQLインジェクションがDB操作の不正化であるのに対し、XSSは利用者のブラウザ上で不正なスクリプトが動く点が違います。

試験での見方

黒猫の闇の刻印

「掲示板に投稿した文字列が他人のブラウザで実行される」「出力時エスケープ」が出たらXSS対策です。SQL用のプレースホルダとは対策対象が違います。

コメント欄の <script> をそのまま表示せず、&lt;script&gt; のようにエスケープして、ブラウザがタグとして解釈しないようにします。

分類

テクノロジ系 / 技術要素 / セキュリティ

小分類:セキュリティ実装技術

関連トピック:アプリケーションセキュリティ

情報の根拠

IPA FEシラバス Ver.9.2 の用語例をもとに、試験対策向けに独自解説しています。

試験要綱 Ver.5.5 FEシラバス Ver.9.2

関連用語

SQLインジェクション対策(プレースホルダほか) Web システムのセキュリティ対策 コンテナセキュリティ セキュアプログラミング バッファオーバーフロー対策

セキュリティの用語一覧へ

科目Aの問題演習に戻る 科目Bの問題演習に戻る 基本情報 用語集トップ 基本情報トップ