クロスサイトスクリプティング(XSS)対策について調べましたので記載いたします。
☆クロスサイトスクリプティングとは
Webサイトの入力フォームから、悪意のあるスクリプトを投稿することで、Webサイト内に悪意のあるスクリプトを埋め込むサイバー攻撃の一つです。
そのままWebサイトを使用してしまうと、埋め込まれた罠が勝手に動き出す仕組みです。
ですので、クロスサイトスクリプティング対策は、Webサイトを作る上で非常に重要なセキュリティ対策となります。
☆悪意のあるスクリプトが埋め込まれたとき
・自動的に不正ポップアップが表示されます。
・他のサイトへ転送される。
☆攻撃による代表的な被害
・攻撃者にセッションIDを知られてしまう危険性があり、不正サクセスにつながる
・個人情報の流出
・攻撃者はWebサイトの内容を改ざんすることが可能になり、ユーザの情報を閲覧される可能性もあります。
・偽サイトを使ったフィッシング詐欺
☆対策方法
①セキュリティサービスの導入(WAFを設置する)
②動作環境を最新に保つ。
(バージョンアップによりセキュリティ対策強化されているか確認する)
③特定のURLのみ許可する
④入力値を制限する。(規定外の文字が入力された場合、再入力を促す)
⑤スクリプトの無害化を行う。(エスケープ処理やサニタイジング処理を活用する)
参考URL:クロスサイトスクリプティング(XSS)とは | 分かりやすく図解で解説 - ITを分かりやすく解説 (medium-company.com)
クロスサイトスクリプティング(XSS)とは?攻撃の被害例や対策をわかりやすく解説|サイバーセキュリティ.com (cybersecurity-jp.com)