クロスサイトスクリプティング（XSS）

概要

Webサイトの脆弱性の一つ。 攻撃者が、掲示板や問い合わせフォームなどに「悪意のあるスクリプト（プログラム）」を埋め込み、それを閲覧したユーザーのブラウザ上で実行させる攻撃手法。

被害

• Cookieの盗難: セッションIDを盗まれ、ユーザーになりすましてログインされる（乗っ取り）。
• フィッシング: 偽のログイン画面（ポップアップ）を表示させて、パスワードを入力させる。

対策

ユーザーが入力した文字をそのまま表示せず、無害化（サニタイズ / エスケープ処理）することが基本です。 例：<script>という文字が来たら、<script>というただの文字列に変換して、プログラムとして動かないようにする。