用語解説辞典

用語解説辞典 知りたい用語はここで検索

用語解説辞典トップに戻る

【クロスサイトスクリプティング】

  • XSS

 ウェブサイトの不備を悪用して、一般のユーザーから不正に情報を盗んだり、そのユーザーを別のページへ誘導して何かの攻撃などに加担させること。その技術や行為。

 クロスサイトスクリプティングの英語表記は Cross Site Scripting で、略すと CSS だけど、CSS は Cascading Style Sheets の略として定着している。そのため、クロスを X で表して XSS と書くことが多い。

 さて、検索サイトでは、キーワード入力枠に適当な単語を入れて「検索」ボタンを押すと、それに対応した結果一覧が表示される。会員登録が必要なサイトの入口で自分の名前(ニックネームやID)を入力すると、それに応じて自分専用の画面が表示されたりする。

 つまり、検索サイトでも会員制サイトでも、こちらから送った情報(文字)を元に、サーバー側で何らかの処理をして画面を作っている。

 こうした入力枠に、スクリプトと呼ばれる短い命令文を入れるとどうなるか。本来なら、そうした命令には反応しないように設定しておかないといけない。しかし、そうした対策が甘いサイトだと命令を受け付けて、あってはならない反応をしてしまうことがある。

 とはいえ、一般の人が、そうしたスクリプトを入力することは考えにくい。XSS の目的は、一般の人からその人のパソコンの中にあるクッキーの内容を読み取ったり、改変したり、別のサイトに誘導して情報を盗んだりすること。そのため、もう少し複雑なことをする。

 たとえば、一般の人が入力した言葉からタグと呼ばれる命令を作って、プログラムを起動させたり別のページに移動させたりする。この辺、なかなか想像しにくいんだけど、結果的には不正な命令(スクリプト)が複数のサイトを行き交うので、クロスサイト(サイトをまたぐ)のスクリプティング(スクリプト処理)と呼ばれる。

 ユーザー側でできる対策としては、ブラウザーのスクリプト設定を無効にすること。だけど、そうすると何かと不便が生じる。やはり、サーバー側でしっかり対応してほしい。

くの一覧に戻る

用語解説:下島 朗(株式会社エントラータ)監修

page top