XSS（クロスサイトスクリプティング）

読み: クロスサイトスクリプティング / 英語: Cross-Site Scripting

概要

Webページに悪意のあるスクリプトを埋め込み、利用者のブラウザで実行させる攻撃。

詳細解説

XSSはWebアプリの代表的な脆弱性です。

種類

• 反射型（Reflected XSS）: URLパラメータに悪意のあるスクリプトを含ませる
• 格納型（Stored XSS）: DBに保存されたスクリプトが表示時に実行される
• DOM Based XSS: クライアント側のJavaScriptの脆弱性を利用

被害例

• Cookie情報の窃取（セッションハイジャック）
• 偽のフォーム表示（フィッシング）
• Webページの改ざん

対策

• 出力エスケープ: HTML特殊文字を無害化（< > &）
• Content Security Policy（CSP）: スクリプトの実行元を制限
• HttpOnly Cookie: JavaScriptからCookieへのアクセスを禁止

---

この記事は「XSS（クロスサイトスクリプティング）」についての用語解説です。学習の参考にしてください。