GETメソッド、POSTメソッド双方に適用できる方法
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/22 07:13 UTC 版)
「クロスサイトスクリプティング」の記事における「GETメソッド、POSTメソッド双方に適用できる方法」の解説
上述したGETメソッドの例ではURLに変数の値がそのまま表示されている事が攻撃者にXSS攻撃を可能にしてしまった原因の一つである。しかしURLに変数の値が表示されないPOSTメソッドを使った場合でもXSS攻撃が可能である。以下、POSTメソッドを前提にして話をすすめるが、GETメソッドに対しても同様の方法でインジェクションが可能である。 標的サイトにXSS攻撃を仕掛けるため、攻撃者は自身でウェブサイト(罠サイト)を立ち上げ、そこに以下のようなHTMLを書く:
被害者が罠サイトを表示してしまうと、フォームhogeのinput文においてgenderが(悪意のあるスクリプト)にセットされた状態で標的サイト「http://example.com/」が表示されてしまうので、被害者のブラウザで悪意のあるスクリプトが実行されてしまう。 しかもこのinput文はhidden指定なのでgenderの値は被害者のブラウザ上に表示されず、被害者はこの事実に気づかない。※この「GETメソッド、POSTメソッド双方に適用できる方法」の解説は、「クロスサイトスクリプティング」の解説の一部です。
「GETメソッド、POSTメソッド双方に適用できる方法」を含む「クロスサイトスクリプティング」の記事については、「クロスサイトスクリプティング」の概要を参照ください。
- GETメソッド、POSTメソッド双方に適用できる方法のページへのリンク