XSSを防ぐ新しいXSS-Protectionヘッダ - ASnoKaze blog
evalとreportOnlyについて追記しました (2016/10/10) 2016/10/20 仕様名は以下の通りになりました。Anti-XSS Response-Time Uniqueness Requirement また、ヘッダ名は、XSS-Protectionヘッダではなく、ARTURヘッダとなっておりますが、また変更される可能性があります。 Googleの調査によると、CSPによるXSSの防止は現実的にデプロイの欠陥によりXSSの防止効果がないことを示しています。調査は「CSP Is Dead, Long Live CSP!」としてACMのカンファレンスで発表され、ペーパーも閲覧することができます。 9月に行われたW3C TPAC 2016のWebAppSecのミーティングで議論され、GoogleのMike West氏より新しくXSS Protectionという仕様が提案されて
XSSを防ぐために不可欠なサニタイジング(無害化)
前回「XSS脆弱性により起こる被害とその対策」は、XSS対策の重要なことの1つとして見落としがちな「入力チェック」があると解説した。今回は、その入力チェックとして特殊文字のサニタイジング(無害化)を中心に、セキュリティホールの対策について解説する。 特殊文字のサニタイジング(無害化) 前回までの入力チェックを確実に行っていれば、かなりセキュリティレベルの高いアプリケーションが出来上がっているはずである。しかしまだ完全ではないので、最後まで気を抜かないでいただきたい。ここでは、XSSを防ぐために不可欠なサニタイジングについて説明する。 XSSは、入力値をHTTPやHTMLの一部として出力する際に生まれるセキュリティホールである。これは入力値に含まれるいくつかの文字がHTTPやHTMLで特殊文字として定義されていて、それらの文字をそのまま出力してしまうことにより起こる。 XSSとは関係ないが、
XSS脆弱性により起こる被害とその対策
前編では、Webアプリケーションに潜むセキュリティホール、「クロスサイトスクリプティング(XSS)」とはどのような脆弱性であるのかについて述べた。中・後編では起こり得る被害についてと、どのように対策をすればよいのかを解説していく。 XSSセキュリティホールによる起こり得る被害 XSSのセキュリティホールがあると、攻撃者はそこを狙った攻撃をするだろう。しかし攻撃といっても、セキュリティホールがあるWebサイトに対する攻撃ではなく、そのWebサイトの利用者に対する攻撃となる。 またユーザーに対する攻撃というといままでにも、悪意のあるスクリプトが仕掛けられた(攻撃者の)Webサイトにアクセスしたユーザーが被害を受けるというものもあった。XSSを利用した攻撃も、攻撃者のWebサイトにユーザーがアクセスして被害が起こるという点は変わらないが、仕込まれているスクリプトがどこから送られてくるのかが違うた
サニタイジング(エスケープ)とは?HTML特殊文字を無害化しない事による脅威と対策のまとめ
公開日:2014-02-03 更新日:2022-10-16 もし、あなたのサイトに入力フォーム等、訪問者が自由にコンテンツを入力できる箇所がある場合、必ず「html特殊文字のサニタイジング(エスケープ)対策」をしておかなければなりません。 もし、この対策をしていなかった場合、非常に重大な脆弱性が存在する事になり、ハッキングで代表的な「クロスサイトスクリプティング(XSS)」に対して、無防備な状態となります。 これは、非常に危険な状態であり、あなたのサイトに対して、第三者によるスクリプトの埋め込みや、「訪問者の個人情報」の取得を目的としたソース(HTML等)を埋め込まれてしまう危険性が有ります。 なので、Webサイトを運営している方は、必ず「サニタイジング(エスケープ)対策」をしておかなければなりません。 今回の記事では、「サニタイジング(エスケープ)」とは、何なのか、、、だったり、「サニタ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
