クロスサイトスクリプティングくろすさいとすくりぷてぃんぐ

クロスサイトスクリプティング（XSS）は、Web ページの入力にゅうりょく欄らんなどに悪意あくいのスクリプト（JavaScript）を注入ちゅうにゅうし、訪問ほうもん者しゃのブラウザで実行じっこうさせる攻撃こうげきです。

種類しゅるい	内容ないよう
反射はんしゃ型がた	URL に仕込しこみ、その場ばで実行じっこう
蓄積ちくせき型がた	掲示板けいじばん等とうに保存ほぞんし閲覧えつらん者しゃ全員ぜんいんに影響えいきょう
DOM ベース	ブラウザ側がわの処理しょりを悪用あくよう

たとえば掲示板けいじばんの投稿とうこう欄らんに悪意あくいのスクリプトを書かき込こみ、閲覧えつらん者しゃのクッキー（セッション情報じょうほう）を盗ぬすんでなりすますような攻撃こうげきです。対策たいさくは出力しゅつりょく時じのエスケープ・CSP・HttpOnly クッキーです。

試験しけんでは XSS が「Web に悪意あくいのスクリプトを注入ちゅうにゅうし、訪問ほうもん者しゃのブラウザで実行じっこうさせる攻撃こうげき」で、対策たいさくが出力しゅつりょくエスケープである点てんが問とわれます。CSRFとの混同こんどうに注意ちゅうい。