クロスサイトスクリプティング の履歴(No.5)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• クロスサイトスクリプティング へ行く。
  • 1 (2018-08-08 (水) 22:11:33)
  • 2 (2018-08-23 (木) 21:24:21)
  • 3 (2018-09-02 (日) 10:35:46)
  • 4 (2018-09-11 (火) 06:12:08)
  • 5 (2018-10-08 (月) 10:36:36)
  • 6 (2018-10-08 (月) 14:11:48)
  • 7 (2018-10-09 (火) 21:39:31)
  • 8 (2020-12-28 (月) 10:55:37)

Tag: セキュリティ 用語

情報†

• クロスサイトスクリプティング（XSS）とは - IT用語辞典

  ネットワークを通じた攻撃手法の一つで、保安上の弱点(脆弱性)のあるWebサイトを踏み台に、悪意のあるプログラムを
  そのサイトの訪問者に送り込む手法。また、そのような攻撃に利用される脆弱性のこと(XSS脆弱性)

• クロスサイトスクリプティング脆弱性とは？：クロスサイトスクリプティング対策の基本（前編） - ＠IT

  これだけだと自分が入力したスクリプトを自分が実行するだけであるので何の問題もないだろう。しかし他人が作成した
  スクリプトを実行させられるとしたら脅威となることが分かっていただけるだろう

対策†

• 1-2. クロスサイトスクリプティング

  イベントハンドラ属性
  イベントハンドラ部分へ入力データを埋め込むことは危険であるため行うべきではない。

書籍†

• 安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構

  IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト
  開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です

DOM-based XSS†

• 第6回　DOM-based XSS　その1：JavaScriptセキュリティの基礎知識｜gihyo.jp … 技術評論社

  サーバ上でのHTMLの生成時には問題はなく，ブラウザ上で動作するJavaScript上のコードに問題があるために発生します。

実験用設定†

• Chrome の「このページは動作していません」問題を回避する - ノウハウブログ - カンタローCGI

  PHPの場合の例
  header('X-XSS-Protection: 0');

関連†

• Content-Security-Policy
• HttpOnly属性
• SameOriginPolicy
• X-Content-Type-Options
• X-XSS-Protection
• 書籍