Security

XSS Auditor が有効になっているかチェックするためのページを作りました

投稿日:2019年4月12日 更新日:

1. XSS とは?

XSS (Cross-site Scripting) とは、Webサイト上で行われる攻撃の1つです。

いろいろな種類があるのですが、単純な例をあげると以下のシナリオで任意の JavaScriptコードを実行させる攻撃が XSS です。

  1. 掲示板サイトがあるとします。
  2. 投稿欄に JavaScriptコードを入力して投稿します。
  3. 投稿した内容は Webページ上に表示されますが、HTML として出力される中に JavaScriptコードが含まれていると、そのままこのコードが実行されてしまいます(本来は適切なエスケープ処理が必要です)。

Webサイトによって違いますが、JavaScript を使うと個人情報やそれに紐づく情報を別のサーバーに送信することも可能であるため、とても危険です。

2. XSS を防ぐためのブラウザの機能「XSS Auditor」

Chrome や Safari といったWebブラウザには、XSS を検知する機能が実装されています。検知された JavaScriptコードは実行されません。この機能のことを XSS Auditor と呼ぶようです。

Chrome 78 (2019年8月) で XSS Auditor は削除されました。
参考:XSS Auditor – The Chromium Projects

3. Webブラウザの XSS Auditor 機能が有効かどうか調べる

今回、Webブラウザの XSS Auditor 機能が有効になっているかどうかをチェックするための Webページを作りました。

チェック方法は、[Check XSS Auditor enabled] というボタンを押すだけです。

XSS が検知された場合は、その旨が表示されます。一方、検知されない場合はポップアップウィンドウが開き「1」が表示されます(XSS Auditor が実装されていない場合も当然検知されません)。

また、“Disable XSS Auditor” にチェックを入れると、Webサーバーはこの機能を無効にするためのレスポンスヘッダ(X-XSS-Protection:0)をセットして返すため、XSS Auditor 機能を持ったブラウザでも検知が行われなくなります。

詳しくはリンク先を参照してください。

4. 参考

📂-Security

執筆者:labo


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

セッション管理の不備 by IPA「安全なウェブサイトの作り方 第7版」

安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構の、「セッション管理の不備」から一部抜粋する。(この資料はPDFでしか提供されていない) 目次セッションIDの推測セッションIDの盗用 …

Web Security

「秘密の質問」機能について

目次「秘密の質問」とは?「秘密の質問」をどう使えばよいのか?参考サイト 「秘密の質問」とは? 「秘密の質問」とは、「質問」とそれに対応する本人しか知らない「答え」を設定し、パスワードリマインダやインタ …

ネットワークビギナーのための情報セキュリティハンドブック Ver.2.00 の目次

目次はじめにネットワークビギナーのための情報セキュリティハンドブック Ver.2.00目次プロローグ サイバー攻撃ってなに?第1章 基本のセキュリティ~ステップバイステップでセキュリティを固めよう!~ …

no image

IPA「SSL/TLS 暗号設定 ガイドライン」を基にしたウェブサーバーの設定例

SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~:IPA 独立行政法人 情報処理推進機構 を参考にして、実際にウェブサーバーのSSL設定をどう書けばよいのか?をメモし …

Web

ウェブブラウザのパスワード保存機能はサイトを限定して使う

目次1. はじめに2. ブラウザのパスワード保存機能利用方針(お勧め)3. ブラウザの設定と操作普段の設定一時的にパスワードを保存させる場合の操作4. おわりに 1. はじめに 最近のウェブブラウザに …