会員登録すると
学習することができます。
会員登録する(無料)
登録済みの方はこちら
ログイン

XSS ― 画面への注入攻撃

目安学習時間 15分

課題

全問正解でレクチャー完了です。

【問題1】

XSS攻撃で起きることはどれ?

[選択肢]

【問題2】

XSSの基本的な防御方法はどれ?

[選択肢]
会員登録すると
学習することができます。
会員登録する(無料)
登録済みの方はこちら
ログイン

学ぶ目的

XSSはこうして起きる

XSS(クロスサイトスクリプティング)は、入力欄などを通じて悪意あるスクリプトをページに注入し、他のユーザーのブラウザで実行させる攻撃です。 盗まれたCookieで攻撃者はそのユーザーになりすましできます(ネットワーク講座で学んだセッションの仕組みが逆手に取られる)。

防御の基本 ― エスケープ

対策は、ユーザー入力を表示するときにエスケープ(特別な意味を持つ文字を無害な表記に変換)することです。

フレームワークは守ってくれる。ただし——

朗報: ReactもRailsも、通常の書き方なら自動でエスケープしてくれます。 Railsのビューも<%= %>は自動エスケープ、rawやhtml_safeは無効化です。

このレクチャーで学ぶこと

  • XSSの仕組みと被害
  • エスケープという防御
  • フレームワークの保護と、それでも危険な操作

質問

まだ質問は投稿されていません。

質問投稿

ログイン後に質問の投稿ができます。