Web アプリケーションの脆弱性に対する攻撃と防御 パート 2 — Gruyere - 1.1クロスサイトスクリプティング (XSS)¶ クロスサイトスクリプティング (XSS) とは、攻撃者が対象となる Web サイトのコンテンツ内に、 対象とは異なる Web サイトのスクリプト (HTML や Javascript) を混入可能にしてしまう脆弱性です。 被害者がそのページを表示すると、混入されたコードは被害者のブラウザ内で実行されます。 したがって、攻撃者はブラウザの同一生成元ポリシー ( Mozilla による解説ページ ) を回避し、 当該 Web サイトに関連した被害者の個人情報を盗むことができます。 折り返し型 XSS (Reflected XSS) 攻撃では、 攻撃はリクエスト内 (多くの場合は URL) にあり、 受け取ったサーバが攻撃内容とまったく同じもの、 またはエスケープやサニタイジング (無害化) に失敗したものを レスポンスとして返す際に脆弱性が発生します
