クロスサイト・スクリプティング(Cross-site Scripting)
クロスサイト・スクリプティング(Cross-site Scripting)とは、悪意のあるサイトと正規のサイトを横断(クロスサイト)して、スクリプトを実行(スクリプティング)させ、情報を詐取する手口です。
Webページの入力テキストボックスなどに、JavaスクリプトやHTMLコードなどを入力すると、それがページに組み込まれて、入力者の意図した処理を行うことができます。
それを悪用すると、次の手順により、個人情報を入手することができます。同じような方法で、ウイルスを侵入させることもできます。
forgeryとは「偽造」のこと。「利用者が意図しない処理」を「正規のWebページで実行させてしまう」攻撃手法です。
クロスサイト・スクリプティングと似ています。
④までは同じです。
⑤ クッキーにより、Aが作成した偽のメッセージがCの正規のページに送られる。
⑥ 正規ページで偽メッセージが実行される。
となります。すなわち、AはBになりすましたのです。
これらを防ぐには、正規のサイトCの管理者がこのような改ざんを防止することが必要です。それには、WebページのFORM(入力場所)での入力データをチェックして、タグやスクリプトのような危険のある文字列を受け付けないとか、エスケープ処理(「<」を「<」のように機能を持たず表示だけの文字列にすること)を施すなど、いろいろな対処をする必要があります。