コンテンツにスキップ

XSS(クロスサイトスクリプティング)対策

XSSとは、ウェブアプリケーションにスクリプトを埋め込める脆弱性がある場合に、これを悪用して利用者のブラウザ上で不正なスクリプトを実行させる攻撃です。

XSSはHTMLを動的に書き出す際、危険な文字を適切にエスケープすることで対策が可能です。

基本的にはSPAの開発に使用するライブラリのリファレンスを読み、XSSへ対策します。

例えばReactであればJSXを使うことにより、埋め込まれた値をレンダリングされる前にエスケープ処理を行うことでXSSを防止します。 また、ReactにはHTMLを直接設定できるdangerouslySetInnerHTMLというAPIがありますが、これの使用を禁止するのがよいでしょう。


※ このドキュメントはFintan コンテンツ 使用許諾条項の下に提供されています。

※ このドキュメントに記載されている会社名、製品名は、各社の登録商標または商標です。