Web 2.0時代のWebアプリケーションセキュリティーXSSとコンテンツのフィルタリング クロスサイトスクリプティング(以降、XSSと呼ぶ)は、動的にHTML文書を生成するWebアプリケーションにおいて、悪意を持ったスクリプトを外部から与えることで、HTML文書内に挿入させ、このスクリプトを実行させる攻撃方法です。前述したように、一般ユーザーが生成したコンテンツが多数流通している現在、悪意を持ったスクリプトコードを容易に埋め込むことが可能になりました。図2に、SNS(Social Networking Service)を例にとってXSS攻撃に例を示します。 攻撃者は、投稿入力画面から、正規のデータ(例. 日記)に、悪意を持ったスクリプトを挿入します。 入力された内容は、SNSサーバーに送られます。 SNSサーバー側では、入力された内容にスクリプトが注入されていないかをチェックしますが、攻撃者は、後述する手法などを使ってこの処理をバイパスします
