φ(..)メモメモ

IPAに多くの届出があるクロスサイト・スクリプティング（XSS）の脆弱性ですが、2012年第1四半期から第3四半期の期間では合計38件だった「DOM Based XSS」と呼ばれるタイプのクロスサイト・スクリプティングの脆弱性の届出が、第4四半期だけで92件（第3四半期までの件数比約2.4倍増）と急増しました。
一般にクロスサイト・スクリプティングは、サーバ側のプログラムに作り込まれてしまう脆弱性ですが、「DOM Based XSS」と呼ばれるクロスサイト・スクリプティングの脆弱性は、ブラウザのプラグインなどのクライアント側のプログラムに作り込まれてしまう場合があるという特徴があります。
「DOM Based XSS」は、JavaScriptから動的にHTMLを操作しているアプリ全般に注意が必要な脆弱性です。しかし、本脆弱性を解説した資料が少ないことや、類似の届出が急増したことから、IPAでは本脆弱性の原因や対策方法が理解されにくい状況にあると考えました。
以上の経緯から、「DOM Based XSS」の脆弱性について解説した資料を公表することにしました。本資料の対象読者は、ウェブサイトの構築や運営に携わる方、およびJavaScriptによる動的なHTML操作をするアプリの開発者の方々を想定しています。
脆弱性があるコード例と対策のポイントとして、以下の点について紹介・解説しています。本資料が「DOM Based XSS」の脆弱性の理解と対策方針の参考のために活用されることを期待します。

IPAテクニカルウォッチ 『DOM Based XSS』に関するレポート：IPA 独立行政法人 情報処理推進機構

関連URL

• JavaScripterに捧げる：IPAが「DOM Based XSS」の脆弱性に関するレポートを公開 - ＠IT