クロスサイトスクリプティングはいつ対策するのがベストですか？

Webサイトやアプリの開発段階（設計・実装時）から対策を組み込むのがベストです。リリース後の修正はコストがかかります。

クロスサイトスクリプティングを失敗させない（防ぐ）コツはありますか？

ユーザーからの入力値を画面に表示する際、必ず適切なエスケープ処理を行うことと、WAF（Web Application Firewall）を導入して攻撃を検知・遮断することです。

掲示板に <script>alert('ウイルス感染！')</script>と書き込み、閲覧者に偽のアラートを表示させるケースや、セッションIDを盗むスクリプトを埋め込むケースなどがあります。

クロスサイトスクリプティングはユーザー（ブラウザ）を標的にしますが、SQLインジェクションはデータベース（サーバー）を直接攻撃してデータを盗む点が異なります。

Webサイトやアプリの 開発段階（設計・実装時） から対策を組み込むのがベストです。リリース後の修正はコストがかかります。

ユーザーからの入力値を画面に表示する際、必ず 適切なエスケープ処理 を行うことと、WAF（Web Application Firewall）を導入して攻撃を検知・遮断することです。

掲示板に <script>alert('ウイルス感染！')</script>と書き込み、閲覧者に 偽のアラートを表示させる ケースや、セッションIDを盗むスクリプトを埋め込むケースなどがあります。

クロスサイトスクリプティングは ユーザー（ブラウザ） を標的にしますが、SQLインジェクションは データベース（サーバー） を直接攻撃してデータを盗む点が異なります。

クロスサイトスクリプティング（XSS）とは？3行で理解できる要約と4コマ漫画解説

システム開発・テクノロジー

2023.07.202026.02.12

クロスサイトスクリプティングとは？ざっくりと3行で

サーバーへの直接攻撃だと思われがちだけど、実は「サイトを閲覧しているユーザー」を狙った攻撃であるという側面があるんだよ。

Webアプリケーションには、掲示板や検索フォームのように、ユーザーが入力した文字をそのまま画面に表示する機能があります。ここに悪意あるスクリプト（プログラムの一種）が紛れ込むと、そのページを見た第三者のブラウザ上で、意図しない動作が実行されてしまうのです。

攻撃者はこの仕組みを悪用し、クッキー（Cookie）などの重要な情報を盗み出そうと画策します。結果として、正規のユーザーがなりすましの被害に遭ったり、フィッシング詐欺のサイトへ勝手に転送されたりするリスクが生じるでしょう。

お問い合わせフォームやコメント欄を作成する際は、入力された記号（<や>など）を文字として扱う「エスケープ処理（サニタイジング）」が正しく実装されているか必ず確認しましょう。

今回の脆弱性診断で、検索窓にXSS（クロスサイトスクリプティング）の脆弱性が見つかりました。

リリース判定会議ですが、XSS対策のエスケープ処理が漏れている箇所があったため、修正完了まで延期します。

ユーザー投稿機能を作るなら、まずはXSSへの対策をしっかり設計に入れておいてね。

Q
クロスサイトスクリプティングはいつ対策するのがベストですか？: A
Webサイトやアプリの開発段階（設計・実装時）から対策を組み込むのがベストです。リリース後の修正はコストがかかります。

Q
クロスサイトスクリプティングを失敗させない（防ぐ）コツはありますか？: A
ユーザーからの入力値を画面に表示する際、必ず適切なエスケープ処理を行うことと、WAF（Web Application Firewall）を導入して攻撃を検知・遮断することです。

Q
クロスサイトスクリプティングの具体例は何ですか？: A
掲示板に <script>alert('ウイルス感染！')</script>と書き込み、閲覧者に偽のアラートを表示させるケースや、セッションIDを盗むスクリプトを埋め込むケースなどがあります。

Q
クロスサイトスクリプティングとSQLインジェクションとの違いは何ですか？: A
クロスサイトスクリプティングはユーザー（ブラウザ）を標的にしますが、SQLインジェクションはデータベース（サーバー）を直接攻撃してデータを盗む点が異なります。