|
|
|
| クロスサイトスクリプティング |
| 辞書:通信用語の基礎知識 通信技術安全編 (CTSEC) |
| 読み:クロスサイトスクリプティング |
| 外語:CSS: cross site scripting |
| 品詞:名詞 |
インジェクション攻撃の一つ。
|
|
| 概要 |
あるサイトのWebページを閲覧したとき、別サイトから送りこまれたコンテンツ(多くの場合はJavaScript)が、あたかもそのサイトから送信されたように見える攻撃方法。
ブラウザーがセキュリティを保つための根拠としているSAME ORIGINの穴を突くことができる。
| 特徴 |
CGIなどを用いて動的に生成されるページでこの問題が起きる可能性があり、特にGETメソッドでのフォームを利用したページが危険である。
この問題を避けるためには、フォームやURLから送られる文字列中に危険なもの(HTML要素、スクリプト)が含まれていないかどうか、サーバーは確認し、サニタイジングをする必要がある。
略称はCSSもしくはXSSである。同じくWeb技術の分野で用いられる用語であるカスケーディングスタイルシートがCSSと略されるため、混乱を避けたい場合にはXSSと略す。
| リンク |
アタック
インジェクション攻撃
SAME ORIGIN| 通信用語の基礎知識検索システム WDIC Explorer Ver 7.04a (27-May-2022) Search System : Copyright © Mirai corporation Dictionary : Copyright © WDIC Creators club |
 |