XSS(クロスサイトスクリプティング)対策
概要
ユーザーが入力した悪意のあるスクリプトが、ブラウザ上で実行されてしまう脆弱性です。
防御策
- エスケープ処理(サニタイズ): HTMLタグとして意味を持つ文字(
<,>,&など)を無害な文字列に変換する - CSP(Content Security Policy)の設定: 信頼されたソースからのスクリプトのみを実行許可する
ユーザーが入力した悪意のあるスクリプトが、ブラウザ上で実行されてしまう脆弱性です。
<, >, & など)を無害な文字列に変換する