セキュリティ

XSS
XSSは、攻撃者が仕込んだスクリプトを被害者のブラウザで実行させ、情報を盗んだり不正操作させる攻撃。

XSS脆弱性が生じる原因は、HTML生成の際に、HTMLの文法上特別な意味を持つ特殊記号（メタ文字）を正しく扱っていないことであり、それにより、開発者の意図しない形でHTMLやJavaScriptを注入・変形される現象がXSSです。

XSSには反射型XSSと持続型XSSがある。
攻撃用JSが攻撃対象のサイトとは別のサイトにある場合は反射型XSSという
攻撃用JSが攻撃対象のデータベースに保存される場合を持続型XSSという

対策

CSRF
CSRFは、ユーザー本人が操作したように見せかけて、攻撃者が勝手にサーバーに命令を送らせる攻撃。

対策
正規利用者の意図したリクエストであることを確認する。
1.トークンの埋め込み
2.パスワード再入力
3.Refererチェック

クリックジャッキング
HTMLの仕様を巧妙に悪用した攻撃

クリックジャッキングは、iframe要素とCSSを巧妙に利用することで、透明にした攻撃対象ページと罠のサイトを重ね合わせ、利用者が気づかないうちに攻撃対象サイトでのクリックを誘導する攻撃手法です。

対策
ブラウザのX-Frame-Optionsの機能を使うapachやnginxでも対策できる