『XSS(クロスサイトスクリプティング)対策に便利なFireFoxアドオンXSS Me』Webサイトを構築した時のセキュリティ対策として、XSS(クロスサイトスクリプティング)への対応を行うと思いますが、単純なテストケースを作って問題ないと判断しても、実は結構なリスクが隠れてたりする、ということは良くあります。 また、どこまでのテストをすればよいのかわからないと言うエンジニアも多いと思いますので、客観的なテストツールなどがあれば便利です。 XSS対策ツールとして、FireFoxアドオンのXSS Me を使えば、かなり簡単に対応状況をレポートで見ることができます。 まず、最初にXSS MeでチェックしてみるHTMLを用意します。 今回は、簡易的に2つのテキストボックスを用意して、送信先(hoge.php)にて一方のテキストボックスのデータの内容を実体参照に変換し(XSS対策あり)、もう一方のほうはそのまま画面へ出力(XSS対策なし)してしまうものを用意してみました。 <form
