仕事でWEBサイトの企画とかを立てることがありますが、やりたいけど予算的に、納期的に、といった問題が付きまといます。またお客さんから要望が出た際もそういうことがあります。そんな時は「代替案」を考えるわけですが。
以前、代替案を出していたなかで「それ、クロスサイトスクリプティングだよ」と言われまして。「???」な状態だったんで早速調べてみることに。
クロスサイトスクリプティング-英単語表記だと「cross-site scripting(またはCSS/XSS)」
サイトをクロス(横断)するスクリプトってことは言葉を見るとわかるんですけどね。
問題はその先。
略称で「CSS」とも書かれるようですけど、CSSだと「Cascading Style Sheets」と被ってややこしいので「XSS(X=クロス)」と呼ばれるのが一般的のようです。
WEB上で使用されるPHPやCGI(JavaScriptもかな?)といったプログラムのセキュリティ上の不備(脆弱性)を意図的に利用して、そのプログラムを使用しているページにアクセスしたユーザーの情報を盗まれ(収集され)てしまう、というもののようです。
イマイチ分かりにくいですよね。
え~と、あるサイトを閲覧したら、そこにフォームがあってそこに入力をしてみる。
しかし、それは実はサイト管理者が設置したものではなく、外部サイトからスクリプトを送りこみ設置したフォームであると、ユーザーはそのことに気づかず、フォームに入力を行い情報を入力する。
その入力された情報はその本来のサイト管理者の元へは届かず、外部のスクリプトを送りこんだ者へと届く。故にサイトを横断してスクリプトを実行させるので「クロスサイトスクリプティング」だということですね。
でもこれ、辞書サイトとかだと「悪意のある」って書かれてますけど「悪意のない場合」はどうなるんでしょうか?というか悪意なくてもそういった行為自体がマナー違反なのかな。
僕が出した代替案は自社で使っているスクリプトをクライアントに流用できないかな?っていうものだった(気がする)んすけど。行為自体がダメなんじゃなくて技術的にそれは無茶だよ、って意味だったんだろうか?
参照:IT用語辞典[e-WORDS]クロスサイトスクリプティング【XSS】
weblio[クロスサイトスクリプティングとは]
スポンサーリンク
[…] 多分、XSSっていう手法だと思うので、WAFの設定をしてなかったのもアカンかったんやなーと勉強になりました。 […]