クロスサイトスクリプティング（XSS）攻撃とは何か？

📝 解説

XSS（クロスサイトスクリプティング）は「WebアプリケーションのセキュリティホールにJavaScriptなどの悪意あるスクリプトを埋め込み、そのページを閲覧したユーザーのブラウザ上でスクリプトを実行させる攻撃」です。掲示板サイトに例えると、悪意ある人が「こんにちは<script>悪意あるコード</script>」という投稿を行い、別のユーザーがその投稿を見た瞬間に悪意あるコードが実行されてしまう状態です。被害としては、Cookieに保存されたセッション情報の窃取（セッションハイジャック）、フィッシングサイトへのリダイレクト、キーロガーによるキー入力の盗聴などがあります。主な対策は①入力値のエスケープ処理（HTMLの特殊文字を無効化）②Content Security Policy（CSP）ヘッダーの設定③HTTPOnlyフラグでCookieをJavaScriptからアクセス不可に設定、などです。SQLインジェクションとXSSは混同しやすいですが、SQLインジェクションはDBへの攻撃、XSSはブラウザ上での攻撃という点が異なります。「XSS＝スクリプト埋め込み→閲覧者のブラウザで実行」が核心です！