クロスサイトスクリプティング (XSS) は、攻撃者が悪意のある JavaScript をウェブページに注入し、他のユーザーのブラウザで実行させる脆弱性です。これにより、データ盗聴、セッションハイジャック、またはユーザーになりすましてアクションを実行できます。一般的で危険なウェブ脆弱性ですが、適切な出力処理により防止可能です。
When user input is rendered into a page WITHOUT proper escaping, injected SCRIPTS run:
Welcome, <%= userInput %>
注入されたスクリプトは被害者のブラウザで 信頼されたサイトからのかのように 実行されます。これにより、攻撃者はセッションクッキー/トークンを盗聴したり、アカウントをハイジャックしたり、キーストロークをキャプチャしたり、ユーザーになりすましてアクションを実行できます。
STORED → malicious script SAVED on the server (e.g. in a comment) → served to all viewers
REFLECTED → script in a request (e.g. a URL parameter) reflected back in the response
DOM-based → client-side JS unsafely puts untrusted data into the DOM
✓ ESCAPE/ENCODE output → render user data as TEXT, not HTML (the key defense):
→ frameworks (React, Angular, Vue) auto-escape by default → use them properly
→ escape based on context (HTML, attribute, JS, URL)
✓ AVOID dangerous APIs → innerHTML, dangerouslySetInnerHTML, eval with untrusted data
✓ SANITIZE HTML if you must allow it (e.g. DOMPurify for rich text)
✓ Content Security Policy (CSP) → restricts what scripts can run (defense in depth)
✓ HttpOnly cookies → JS can't read them (limits cookie theft via XSS)
XSS とその防止方法を理解することは、一般的で危険なウェブ脆弱性 であり、攻撃者がユーザーのブラウザで悪意のあるスクリプトを実行できるため、ウェブ開発者にとって必須のセキュリティ知識です。
仕組みを理解すること が重要です。つまり、ユーザー入力をページにレンダリングする際に適切なエスケープを行わないと、注入された JavaScript が信頼されたサイトのコンテキストで他のユーザーのブラウザで実行され、攻撃者がセッションクッキーとトークンを盗聴したり、アカウントをハイジャックしたり、ユーザーになりすませる ことができるため、この脆弱性を認識・防止するために必要です。
XSS が危険な理由は、ユーザーのセッションとデータを危険にさらし、ユーザー生成コンテンツを表示するウェブアプリケーションで一般的だからです。
種類を理解すること も重要です。保存型 XSS(悪意のあるスクリプトがサーバーに保存され、すべての閲覧者に配信される、最も危険)、反射型 XSS(リクエストから反射されるスクリプト)、DOM ベース XSS(クライアント側の不安全な DOM 操作)は、異なる攻撃ベクトルを認識するために役立ちます。
防止方法を理解することは必須です:出力のエスケープ/エンコーディング(ユーザーデータをテキストとして、HTML ではなくレンダリング。重要な防御で、React などの最新フレームワークは正しく使用された場合デフォルトで自動的に実行)、危険な API の回避(innerHTML、dangerouslySetInnerHTML、信頼されていないデータを伴う eval。XSS の一般的なソース)、リッチコンテンツを許可する必要がある場合の HTML サニタイズ(例:DOMPurify)、Content Security Policy(防御層として実行スクリプトを制限)、および HttpOnly クッキー(JS がそれらを読み取ることを防止)。
フレームワークが自動エスケープを実行すること(したがって正しく使用するとほとんどの XSS を防止し、エスケープをバイパスすると再導入される)を理解することは、実務的に重要です。
XSS は一般的で危険な脆弱性であり、ユーザーのセッションとデータを危険にさらし、特にユーザーコンテンツを表示するアプリケーションで危険です。また、それがどのように機能し、どのように防止するか(出力エスケープ、危険な API の回避、CSP、フレームワークのデフォルト)を理解することはウェブ開発者にとって必須です。したがって、XSS とその防止を理解することは必須で、必知のセキュリティ知識です。広く配布されている攻撃クラスからユーザーを保護するための基本的なウェブ脆弱性であり、適切な出力処理(エスケープ、フレームワークのデフォルトの使用、危険な API の回避)が重要な知識です。