tag

Web

このタグの記事 2 件

XSS（クロスサイトスクリプティング）とは — 他人のブラウザで勝手にコードが動く穴

XSSは、攻撃者の用意した文字列が“スクリプトとして”別の利用者のブラウザで実行される脆弱性。セッション窃取・なりすましに直結。本命の防御は『出力時のエスケープ』。フレームワークの自動エスケープを外さないことが最大の対策。

CSRFは、ログイン中の利用者のブラウザに“本人が意図しない操作”を勝手に送らせる攻撃。ブラウザがCookieを自動送信する性質を悪用する。本命の防御はCSRFトークン＋SameSite Cookie。状態変更にGETを使わないことも重要。