クロスサイトスクリプティング（読み）くろすさいとすくりぷてぃんぐ（その他表記）Cross Site Scripting

デジタル大辞泉 の解説

クロスサイト‐スクリプティング（cross site scripting）

インターネットのウェブサイトに見られるセキュリティーシステム上の弱点の一。悪意のあるユーザーがBBS（電子掲示板）に有害なスクリプトを入力し、他の閲覧者のブラウザーを経由してそのスクリプトを送り込むこと。
[補説]CSSとも略されるが、cascading style sheetsの略との混同を避けるためにXSSと表記することが多い。→シー‐エス‐エス（CSS）

出典　小学館

知恵蔵 の解説

クロスサイトスクリプティング

標的となるウェブサイトに外部から攻撃用のスクリプトを混入し、被害者のウェブブラウザー上で実行させようとする攻撃手法の一つ。攻撃用のウェブサイトに置かれたスクリプトを、標的にされたウェブサイトから送信されたスクリプトとして実行させる、つまり、2つのウェブサイトをまたいで(クロスして)スクリプトを実行させることからこの名がついた。英語表記(Cross site Scripting)の頭文字はCSSだが、これは一般的なウェブ技術の一つ「カスケーディングスタイルシート(Cascading Style Sheet)」の略称でもあるため、通常はXSSと略す。
XSSの標的となるのは、アクセスした利用者が入力したテキストをそのままウェブページとして表示する(ページを動的に生成する)機能を持つウェブ掲示板等のウェブサイトや、そこにアクセスする利用者である。このようなウェブサイトでページを生成しているプログラムに特定のセキュリティーホールがあると、ユーザーの入力内容にスクリプトが含まれていた際に、生成されたページにアクセスしたウェブブラウザー上でそのスクリプトが実行されてしまう。攻撃者はそれを悪用する。攻撃用のウェブサイトにアクセスした第三者に特殊なリンクをクリックさせるなどの方法で、標的となるウェブサイトへのアクセスと攻撃用スクリプトの入力を自動で行わせる。標的になったサイトからはスクリプトを書き込んだ犯人がその第三者にしか見えない。
スクリプトを埋め込まれたページにアクセスした利用者が受ける可能性がある被害は、そのウェブサイトのユーザーIDやパスワードの盗難、コンピューター・ウイルスやトロイの木馬の強制ダウンロードと実行など、幅広い。埋め込まれたスクリプトが明確に悪質な内容を含んでいるためマルウエアと判定されるか、別途マルウエアをダウンロードするような内容であればウイルス対策ソフトで検知できる可能性があるが万全ではない。より確実なのはウェブブラウザーの設定を変更してスクリプトの実行を無効にすることだが、ウェブサイトのメニュー表示等にスクリプトを使用しているサイトは多く、AJAX等を利用したウェブアプリケーションも利用できなくなる。そのため、あまり現実的な対策とは言えない。
そこで重要になるのがウェブサイト側の対策である。ページを動的に生成するソフトウエアにXSSを許してしまう脆弱性(ぜいじゃくせい)があれば修正する。また、サイト利用者の入力内容にスクリプトが含まれていても無効化するよう、入力時と出力(ページ生成)時にチェックや除去を行う必要がある。

(斎藤幾郎 ライター ／ 2009年)

出典　(株)朝日新聞出版発行「知恵蔵」

情報セキュリティ用語辞典 の解説

クロスサイト・スクリプティング

Web上で使用されるCGIなどのプログラムの中にある脆弱性の1つ。悪意のあるWebサイトを閲覧すると、スクリプトを実行でき、クッキーの漏えい、ファイルの破損といった被害が発生する。対策としてはサニタイジング（入力の無害化）などが必要。

出典　教育ネットワーク情報セキュリティ推進委員会（ISEN）