クロスサイトスクリプティングとは

攻撃者が送り込んだ悪意のコード(例えば、ユーザーの個人情報を盗み取る命令など)を、そのページを閲覧した不特定多数のユーザーにスクリプト(簡易的なプログラム)として実行させる可能性があることを指す。「XSS」などとも省略される。2000年２月にCERT/CCとMicrosoftから発表された「クロスサイトスクリプティングの脆弱性に関する問題」の勧告が発端。

ユーザーからの入力データを表示する仕組みになっている、掲示板のようなWebアプリケーションにおいて発生しやすい。

Webサイト上の入力欄などにスクリプトを含んだタグを打ち込むと、そのサーバーの脆弱性の度合いによって、閲覧したユーザーに関する情報が保存されたcookieを吐き出したり、第三者のサーバーに転送されるなどの可能性がある。サーバーで認証を行うユーザーの個人情報が盗まれたり、他人によって認証をパスされることに繋がるため、特に商用サイトにおいては重大な問題として取り上げられている。

チエ：Webアプリケーション側でクロスサイトスクリプティングを防御するにはどういう対策が有効かしら？
イッセイ：訪問者からの入力内容をそのまま表示せずに、スクリプトなどのコードを識別して無効化する処理や、記号など使える文字の種類を制限することも有効な対策となるでしょう。
マサヤ：ユーザー側の対策としては、安易にリンクをクリックしないことです。また、ブラウザのセキュリティ設定を変更し、信頼できるサイト以外ではJavaScriptなどのスクリプト機能を無効にするといった方法もあります。

詳細はこちら↓
・XSSとは(IT用語辞典)