ウェブアプリの脆弱性を狙うXSSとCSRF その仕組みの違いと対策インターネットの普及により、私たちはWebサイト上でさまざまなサービスを受けることが可能になった。その一方で、こうしたWebアプリケーションの脆弱性を狙った攻撃は年々増加している。本記事では、その中でも古典的ながら今なお代表的な脆弱性で、混同されがちなクロスサイト・スクリプティング(XSS)と、クロスサイト・リクエスト・フォージェリ(CSRF)について、改めて仕組みの違いや過去の被害事例、対策を整理し紹介する。 クロスサイト・スクリプティング(XSS)とは 2019年10月24日に独立行政法人情報処理推進機構(IPA)が発表した報告資料によると、2019年第3四半期におけるWebサイト脆弱性に関する届け出件数は278件。そのうち、約58%をクロスサイト・スクリプティング(以下、XSS)が占めている。脆弱性はセキュリティホールとも呼ばれ、アプリケーションのプログラムの不具合や設計ミスによって
