WEB脆弱性のクロスサイト・スクリプティングとは

普通CGIなどWebアプリケーションは、Webページから検索のキーワード入力や個人情報の登録入力などを処理して、Webページとして出力します。
ここで、Webページへの出力処理に問題があると、そのWebページにスクリプトなどを埋め込まれてしまうことがあります。
このようなスクリプトのインジェクション（注入）を、特にクロスサイト・スクリプティング攻撃と言います。

対策としては、HTMLテキストの入力をエスケープ処理し、HTMLテキストを許可しない方法があります。
どうしても、HTMLテキストが必要な場合は、構文解析を行い、「ホワイトリスト方式」で許可する要素のみを抽出します。
また、共通の対策としては、HTTPレスポンスヘッダのContent-Typeフィールドに文字コード(charset)の指定を行います。

◆ 補足

・エスケープ処理

エスケープ処理には、Webページの表示に影響する特別な記号文字（「<」、「>」、「&」、「"」、「'｣など）を、
HTMLエンティティ（「&lt;」、「&gt;」、「&amp;」、「&quot;」、「&#39;」など）に置換します。
また、URLを出力するときは、「http://」や 「https://」で始まるURLのみを許可するようにします。
これは、「javascript:」の形式で始まるURLがあるからです。

以下は、上記の置換をするPerlでのソースです（前に書いた記事の引用です）。

sub htmlf {
    my ($strhtml) = @_;
    $strhtml =~ s/&/&/g;
    $strhtml =~ s/>/>/g;
    $strhtml =~ s/</&lt;/g;
    $strhtml =~ s/"/&quot;/g;
    $strhtml =~ s/'/&#39;/g;
    return $strhtml;
}

http://d.hatena.ne.jp/chaichanPaPa/20080329/1206748795

・ホワイトリスト方式

リストに登録された内容に一致する文字列の通過を「許可」する方式です。
未知の攻撃パターンにも有効であり、漏れが生じにくい点で安全性は高いです。
ちなみに、ブラックリスト方式は、ホワイトリスト方式の逆で、リストに登録された内容に一致する文字列の通過を「禁止」する方式です。
これは、未知の攻撃パターンを検出できない可能性があり、漏れが生じやすいという性質あります。

・HTTPレスポンスヘッダの文字コード指定

HTTPレスポンスヘッダに文字コードを指定していないと、ブラウザは、文字コードを推定して画面表示を処理します。
たとえば、UTF-7に推測された場合、上記のような「エスケープ処理」を施してもエスケープをスルーしてしまうケースがあるとのことでした（参考リンク参照）。

◆ 参考リンク

• http://www.ipa.go.jp/security/vuln/documents/website_security.pdf