なぜXSS対策が大事なのか?

なぜXSS対策が大事なのか?

最近ネットでは、XSS攻撃がし放題のSNS(?)があり話題となていますが、なぜXSS対策を怠ってはいけないのでしょうか?

XSS攻撃とは

XSS(クロスサイトスクリプティング) は、JavaScriptをサイト内に埋め込み、任意のコードを実行してユーザーを攻撃する手法です。 XSS対策を行っていないと任意のJSをサイト内に埋め込むことができてしまうので、ユーザーを任意のサイトに飛ばすだけではなく、パスワードの取得やアカウントの乗っ取りなどJSでできる全ての攻撃が可能になってしまいます。

XSS攻撃例

以下のようにGETパラメータをそのまま表示した場合

このようなパラメータをつけてアクセスした場合

以下のようなコードが表示され、JSが実行されてしまいます。

XSS対策

素PHPならhtmlspecialchars関数、他のフレームワークの場合だとselfのような各フレームワークで用意されているフィルタを使用することで大凡のXSSは防ぐことができます。

htmlspecialchars関数は、引数が3つあり冗長なのでラッパー関数にして利用すると保守性も上がり便利です。

最後に

先述のサイトももうすでにXSS対策はだいぶなされてきたようですが、XSS以外にも他の脆弱性が潜んでいるので、フレームワークを使用せずに一からHPを作成する場合には、特にセキュリティ対策に気をつけた方が良いと思います。