【完全理解】XSS攻撃の仕組み、4つの種類と対策

1. イントロダクション：XSSとは？なぜ危険なのか？

XSSの概要: XSS（Cross-Site Scripting）は、攻撃者がWebサイトに悪意のあるスクリプト（主にJavaScript）を埋め込む行為です。そして、そのサイトを閲覧したユーザーのブラウザ上で実行させる攻撃です。
危険性: スクリプトが実行されると、深刻な被害が発生します。例えば、ユーザーのセッションハイジャック（Cookie盗難）やフォーム入力内容の詐取、ブラウザの強制操作などが可能です。

XSS攻撃は、以下の条件が揃った場合に成立します。具体的には、**「ユーザーからの入力データ」が適切に処理されません。その結果、それが「WebページのHTMLの一部」**として組み込まれ、ブラウザに表示されてしまう場合です。

悪意のある入力例: 攻撃者は、ユーザー名やコメント欄などに、<script>alert('XSS');</script> のようなコードを挿入しようとします。
ブラウザの解釈: サーバー側がこれを単なる文字列として扱いません。代わりにHTMLタグとして処理してしまうと、ブラウザはそのコードを正規のJavaScriptとして実行してしまうのです。

XSSは、悪意のあるスクリプトがどこに保存・埋め込まれるかによって、主に3つに分類されます。

反射型XSS（Reflected XSS）:
- 仕組み: 攻撃者のスクリプトがURLのパラメータに含まれます。それがサーバーを経由した後、即座にユーザーのブラウザに反射（反映）されることで実行されます。（例：検索結果ページのエラーメッセージなど）
- 特徴: 攻撃はURLリンクを介して行われます。したがって、標的は個々のユーザーです。
格納型XSS（Stored XSS）:
- 仕組み: 攻撃者のスクリプトがサーバーのデータベースやファイルに**永続的に保存（格納）**されます。（例：ブログのコメント欄、掲示板の投稿など）
- 特徴: そのデータを含むページを閲覧した全てのユーザーが被害に遭います。そのため、最も深刻な影響をもたらします。
DOMベースXSS（DOM-based XSS）:
- 仕組み: サーバーを介しません。ユーザーのブラウザ内の**DOM（Document Object Model）**操作によってスクリプトが実行されます。（例：JavaScriptでURLのパラメータを読み取り、そのままDOMに追加する場合など）
- 特徴: クライアントサイドでの処理に脆弱性があります。したがって、サーバー側での対策だけでは防げません。

XSS対策の基本は、**「ユーザーの入力データは決して信頼しない」**ことです。

ユーザーからの入力データは、画面に表示する直前に必ずエスケープ処理を行いましょう。これにより、HTMLタグとして解釈されないようにします。

入力されたHTMLタグの一部（例：許可された <b> や <i> など）のみを許可します。一方、それ以外の危険なタグ（<script>、<iframe>、<onclick>など）を除去・無効化する処理です。

注意点: エスケープ処理が基本です。しかし、ユーザーにHTML入力を許可するWebサービス（リッチテキストエディタなど）では、サニタイジングが必須になります。

CSPはXSS対策の「最終防壁」です。これは、Webサーバーから送信されるレスポンスヘッダー（Content-Security-Policy）に、**「どこから来たスクリプトの実行を許可するか」**というルールを記述するものです。

XSSによって最も狙われるデータの一つがセッションCookieです。

設定内容: セッションCookieを発行する際、HttpOnly 属性を付与します。
効果: JavaScriptからCookieにアクセスできなくなります。したがって、たとえXSSが成功し悪意のあるスクリプトが実行されたとしても、セッションCookieの盗難を防ぐことができます。