XSS（クロスサイトスクリプティング）とは？

詳細解説

XSS（Cross-Site Scripting）は、Webサイトがユーザーからの入力値（コメント・検索ワード等）を適切にエスケープせずにHTMLとして出力する脆弱性を悪用し、攻撃者が埋め込んだ悪意のあるJavaScriptを被害者のブラウザで実行させる攻撃です。XSSの種類は3つあります。反射型XSS（Reflected XSS）：URLにスクリプトを埋め込み、サーバーがそのままレスポンスに反射して実行される（フィッシングメールのURLとして使われることが多い）。蓄積型XSS（Stored/Persistent XSS）：掲示板・レビュー欄等にスクリプトを投稿・保存し、ページを閲覧した全ユーザーに実行される（最も危険）。DOMベースXSS：サーバーを介さずにJavaScriptのDOM操作が引き起こすXSS。主な被害はセッションCookieの窃取（セッションハイジャック）・偽フォームによる個人情報入力誘導・マルウェアダウンロードへの誘導・Webページの改ざんです。対策は出力時のHTMLエスケープ（< > " ' &を文字参照に変換）・Content Security Policy（CSP）の設定・HttpOnly属性でCookieをJavaScriptから保護・入力値バリデーションです。ITパスポートでは「XSSの仕組み」「出力エスケープによる対策」「Cookieのセキュリティ設定」が頻出です。

ITパスポートでの出題ポイント

• 1出力時のHTMLエスケープが最重要対策
• 2蓄積型XSSはページ閲覧者全員に実行される最も危険な型
• 3セッションCookieを盗まれるとアカウント乗っ取りが可能
• 4CSPでインラインスクリプト実行を制限

関連用語