クロスサイトスクリプティング
読み:クロスサイトスクリプティング
外語:CSS: cross site scripting
インジェクション攻撃の一つ。
概要
あるサイトのWebページを閲覧したとき、別サイトから送りこまれたコンテンツ(多くの場合はJavaScript)が、あたかもそのサイトから送信されたように見える攻撃方法。
ブラウザーがセキュリティを保つための根拠としているSAME ORIGINの穴を突くことができる。
特徴
CGIなどを用いて動的に生成されるページでこの問題が起きる可能性があり、特にGETメソッドでのフォームを利用したページが危険である。
この問題を避けるためには、フォームやURLから送られる文字列中に危険なもの(HTML要素、スクリプト)が含まれていないかどうか、サーバーは確認し、サニタイジングをする必要がある。
略称はCSSもしくはXSSである。同じくWeb技術の分野で用いられる用語であるカスケーディングスタイルシートがCSSと略されるため、混乱を避けたい場合にはXSSと略す。
再検索