1. 用語集
  2. Cross-site scripting (クロスサイトスクリプティング)

このページはコミュニティーの尽力で英語から翻訳されました。MDN Web Docs コミュニティーについてもっと知り、仲間になるにはこちらから。

View in English Always switch to English

Cross-site scripting (クロスサイトスクリプティング)

クロスサイトスクリプティング (XSS) 攻撃とは、攻撃者が対象となるウェブサイトに、あたかもそのウェブサイトの一部であるかのように悪意のあるコードを取得し、実行させる攻撃のことです。そのコードは、そのウェブサイト自身のコードが可能なことなら何でも行うことができます。例えば、攻撃者は次のようなことを行う可能性があります。

  • サイトが読み込んだページのすべてのコンテンツ、およびローカルストレージ内のあらゆるコンテンツにアクセスし、変更することができます
  • ユーザーの資格情報を使用して HTTP リクエストを送信し、ユーザーになりすましたり、機密データにアクセスしたりすることが可能です

すべての XSS 攻撃は、ウェブサイトが次の 2 つのことをしていることに依存しています。

  1. 攻撃者によって細工された可能性のある入力を受け入れること
  2. この入力を、サニタイズ(無害化)せずにページに表示すること。つまり、JavaScript として実行されないようにせずに表示すること

関連情報

MDN の改良に協力

協力方法を知る

このページは MDN の貢献者によって に最終更新されました。

GitHub でこのページを表示このコンテンツに関する問題を報告