クロスサイトスクリプティング（XSS）（Cross-Site Scripting）

クロスサイトスクリプティング（XSS）とは、ひとことで言えば、攻撃者がWebページに悪意のあるスクリプトを埋め込み、そのページを閲覧した他のユーザーのブラウザ上でスクリプトを実行させる攻撃手法です。たとえば、掲示板の投稿欄にJavaScriptを仕込み、閲覧者のセッションCookieを窃取してアカウントを乗っ取ります。反射型（Reflected）、格納型（Stored）、DOMベースの3種類があり、格納型は被害が広範囲に及びやすく最も深刻です。対策としては、出力時のHTMLエスケープ処理、Content Security Policy（CSP）ヘッダの設定、入力値の検証が基本です。SQLインジェクションがサーバ側のデータベースを攻撃するのに対し、XSSはクライアント側のブラウザを攻撃対象とする点が異なります。