Security

XSS Auditor が有効になっているかチェックするためのページを作りました

投稿日:2019年4月12日 更新日:

1. XSS とは?

XSS (Cross-site Scripting) とは、Webサイト上で行われる攻撃の1つです。

いろいろな種類があるのですが、単純な例をあげると以下のシナリオで任意の JavaScriptコードを実行させる攻撃が XSS です。

  1. 掲示板サイトがあるとします。
  2. 投稿欄に JavaScriptコードを入力して投稿します。
  3. 投稿した内容は Webページ上に表示されますが、HTML として出力される中に JavaScriptコードが含まれていると、そのままこのコードが実行されてしまいます(本来は適切なエスケープ処理が必要です)。

Webサイトによって違いますが、JavaScript を使うと個人情報やそれに紐づく情報を別のサーバーに送信することも可能であるため、とても危険です。

2. XSS を防ぐためのブラウザの機能「XSS Auditor」

Chrome や Safari といったWebブラウザには、XSS を検知する機能が実装されています。検知された JavaScriptコードは実行されません。この機能のことを XSS Auditor と呼ぶようです。

Chrome 78 (2019年8月) で XSS Auditor は削除されました。
参考:XSS Auditor – The Chromium Projects

3. Webブラウザの XSS Auditor 機能が有効かどうか調べる

今回、Webブラウザの XSS Auditor 機能が有効になっているかどうかをチェックするための Webページを作りました。

チェック方法は、[Check XSS Auditor enabled] というボタンを押すだけです。

XSS が検知された場合は、その旨が表示されます。一方、検知されない場合はポップアップウィンドウが開き「1」が表示されます(XSS Auditor が実装されていない場合も当然検知されません)。

また、“Disable XSS Auditor” にチェックを入れると、Webサーバーはこの機能を無効にするためのレスポンスヘッダ(X-XSS-Protection:0)をセットして返すため、XSS Auditor 機能を持ったブラウザでも検知が行われなくなります。

詳しくはリンク先を参照してください。

4. 参考

📂-Security

執筆者:labo


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

Web Security

OWASP Juice Shop の進め方(時間がない場合)

OWASP Juice Shop の進め方(時間がない場合)を紹介します。

no image

ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方 第7版」

ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方 第7版」 パスワードに関する対策 初期パスワードは、推測が困難な文字列で発行 …

セキュリティ

Android で MD5 や SHA1 のハッシュ値をチェックする方法

追記 2021年, 気がつくと MD5 Checker は Google Play Store からなくなっていました。 目次1. はじめに2. 利用するアプリのインストール3. MD5 Checke …

Web Security

JavaScript とHTML5のセキュリティ対策

JavaScript や HTML5 を安全に使うため、気を付けるべきポイントについて書いています。 目次1. 基礎知識発生しやすい脆弱性信頼できない値はどこからくるのか?(ソース)信頼できない値が出 …

Web Security

Relative Path Overwrite (RPO) の動作について

Relative Path Overwrite (RPO) について簡単に説明します。