クロスサイト・スクリプティング
【説明】
ウェブサイト事態が脆弱な場合
悪意あるWebページやメールリンクからクリックされたURLによってスクリプトが含まれたコードを含んでウェブサイトにアクセスし、その結果内容からアクセスしたユーザーの情報の漏洩やスクリプトが実行されてしまう
フィッシング被害や なりすまし等につながる
【対策】
その1:極力HTMLテキスト入力できるところをなくす
その2:"<"・">"・"&"・"""などをエスケープする(ほかの文字に置き換える等)また、エラーチェックをキチンとおこない必要のない入力値を許可しない
その3:リンク先URLにjavascriptとかから始まるURLは拒否する(エラーにする)もしくはhttp httpsから始まるURLのみ許可する
その4:CSSを外部取り込まない
その他:
cookieの取得対策として HttpOnlyという方法があるらしい
これはやったことがないので 別途追記予定