フロントエンド
15 コマンド
スクリプト注入攻撃 XSS(クロスサイトスクリプティング)
悪意あるスクリプトを Web ページに注入する攻撃手法。反射型・格納型・DOM Based の 3 種類がある。
反射型 反射型 XSS(Reflected XSS)
URL パラメータに含まれたスクリプトがサーバーのレスポンスに反映されて実行される攻撃。フィッシングメール経由で悪用されることが多い。
格納型 格納型 XSS(Stored XSS)
データベースに保存された悪意あるスクリプトが、他のユーザーがページを閲覧した際に実行される攻撃。影響範囲が広く、最も危険な XSS。
DOM Based DOM Based XSS
サーバーを経由せず、クライアントサイドの JavaScript が DOM を不適切に操作することで発生する XSS。innerHTML や document.write が原因。
透明フレーム攻撃 クリックジャッキング
透明な iframe を重ねて、ユーザーに意図しないクリックをさせる攻撃。
リソース読み込み制限 Content Security Policy (CSP)
ブラウザが読み込めるリソースの種類やオリジンを制限する HTTP ヘッダ。XSS の被害を大幅に軽減できる。
HTTP セキュリティヘッダ セキュリティヘッダ
HTTP レスポンスヘッダでブラウザのセキュリティ機能を有効化する。CSP, HSTS, X-Frame-Options など複数のヘッダを組み合わせて防御層を構築する。
Cookie 属性と安全な管理 Cookie セキュリティ
Cookie の属性(HttpOnly, Secure, SameSite)を正しく設定し、セッションハイジャックや CSRF を防ぐ。
未検証リダイレクト オープンリダイレクト
URL パラメータで指定されたリダイレクト先を検証せずに遷移させる脆弱性。フィッシング攻撃に悪用される。
CDN 改ざん検知 サブリソース完全性(SRI)
CDN から読み込む JavaScript や CSS のハッシュ値を検証し、改ざんされたリソースの実行を防止する。
外部スクリプトの危険性 サードパーティスクリプトのリスク
アクセス解析・広告・チャットなどの外部スクリプトが持つセキュリティリスク。Magecart 型攻撃によるフォーム情報窃取が代表例。
ブラウザストレージのリスク クライアントサイドストレージの安全性
localStorage / sessionStorage / IndexedDB に機密情報を保存するリスクと安全な代替手段。
新しいタブ経由の攻撃 Reverse Tabnabbing
target="_blank" で開いた外部ページが window.opener を通じて元のページを書き換える攻撃。
プロトタイプ汚染 Prototype Pollution
JavaScript のプロトタイプチェーンを悪用し、オブジェクトのプロパティを改ざんする攻撃。npm パッケージ経由で発生しやすい。
HTTPS 内の HTTP 混在 Mixed Content
HTTPS ページ内で HTTP リソースを読み込むことで発生するセキュリティリスク。中間者攻撃によるリソース改ざんの危険がある。