こんにちは、ともです。

この記事では、クロスサイトスクリプティング（XSS）という脆弱性について勉強したことをまとめます。

アプリケーションを作る際には、駆け出しエンジニアであっても、動けば良いというような気持ちで作ってはいけません。有名な脆弱性くらいはしっかりと理解し対処していきたいです。

そこで、駆け出しエンジニアである僕がPHPで『XSS』についての理解をまとめます。

クロスサイトスクリプティング（XSS）とは

XSSは『Cross Site Scripting』の頭文字をとりできました。頭文字をとると『CSS』となりますが、スタイルシートと混同しやすいため『XSS』となりました。

クロスサイトスクリプティング（XSS）とはユーザ入力により動的にHTMLを生成するサイトにおいて、出力情報をエスケープしない事が原因で起こる脆弱性です。

例えばHTMLの中に次の２つの文字列が挿入された場合を考えてみます。

// ①（問題無い）Hello Worldが埋め込まれた
<span>Hello World</span>

// ②（問題有り）スクリプトが埋め込まれた
<span><script>alert("攻撃！")</script></span>

①はただの文字列が埋め込まれただけですので問題ありません。

②のようにJavaScriptが埋め込まれた場合、alertメソッドが実行されてしまいます。

ブラウザが『<script>alert('攻撃！')</script>』をただの文字列として認識してくれれば問題が解決します。

対処方法

スクリプトをただの文字列として変換する処理をエスケープと言います。

PHPの場合、HTML側でJavaScriptをエスケープするにはhtmlspecialcharsメソッドが利用できます。

<span>
  <?php
    echo htmlspecialchars('<script>alert('攻撃！')</script>', ENT_QUOTES, 'UTF-8');
  ?>
</span>

第一引数にエスケープしたい文字列をセットし、第二引数にENT_QUOTESを指定しシングルクオートもエスケープするようします。

ただの文字列として表示できている事が分かります。

まとめ

とても簡単にですが、XSSについて解説しました。少しでも安全なアプリケーションを作成できるように、駆け出しであっても気をつけたいです。