Webサイトのセキュリティを強化！XSSとCSRF攻撃とその対策を解説

投稿日： 2025.09.08 更新日： 2025.08.20

ウェブサイトのセキュリティを考える上で、XSS（クロスサイトスクリプティング）とCSRF（クロスサイトリクエストフォージェリ）は、開発者が必ず知っておくべき代表的な攻撃手法です。これらの攻撃は、ユーザーやサイト自体に大きな被害をもたらす可能性があります。

今回は、XSSとCSRFの仕組みと、具体的な対策方法を初心者にもわかりやすく解説します。

XSS（クロスサイトスクリプティング）攻撃とその対策

XSSは、悪意のあるスクリプトをウェブサイトに埋め込み、そのサイトを訪れた他のユーザーのブラウザ上で実行させる攻撃です。これにより、ユーザーのセッション情報（クッキーなど）を盗まれたり、偽のコンテンツが表示されたりする被害が発生します。

ユーザー名入力欄に、以下のHTMLタグを埋め込まれたとします。

<script>alert("XSS攻撃です！");</script>

対策が不十分なサイトでは、このコードがそのまま画面に表示され、サイトを訪れたすべてのユーザーのブラウザでポップアップが表示されてしまいます。

最も基本的な対策は、ユーザーからの入力をそのまま表示しないことです。

入力のサニタイズ（無害化）：
ユーザーからの入力データを、HTMLタグとして解釈されないように処理します。<を<に、>を>に変換するエスケープ処理が一般的です。
WAF（Web Application Firewall）の導入：
専門のツールを導入して、不正な通信を検知・遮断する方法もあります。

CSRFは、ユーザーが意図しないリクエストを強制的に実行させる攻撃です。例えば、ユーザーがログインしているサイトで、攻撃者が用意した偽のサイトのボタンをクリックさせ、その裏で「パスワード変更」や「商品購入」といったリクエストをこっそり実行させます。

ログイン中のユーザーが、攻撃者が用意したページに埋め込まれた以下のコードを読み込んだとします。

<img src="https://bank.example.com/transfer?account=attacker&amount=100000" style="display:none;">

この画像タグを読み込むだけで、ユーザーの意図しない送金処理が実行されてしまいます。

CSRF対策のポイントは、「ユーザーが意図してリクエストを送信した」ことをサーバー側で確認することです。

CSRFトークンの導入：
リクエストごとにランダムな文字列（トークン）を発行し、フォームに隠しフィールドとして埋め込みます。サーバー側では、送信されたトークンが正しいか検証することで、不正なリクエストをブロックできます。
HTTPヘッダーの確認：
Refererヘッダーで、リクエストが正しいドメインから送られてきたかを確認します。ただし、これは偽装される可能性があるため、トークンと組み合わせて使うのが一般的です。
SameSite属性の利用：
クッキーにSameSite属性を設定することで、外部サイトからのクッキー送信を制限し、CSRF攻撃を防止できます。

XSSとCSRFは、ウェブサイトの信頼性とユーザーの安全を守る上で、非常に重要な脅威です。

これらの対策は、ウェブサイトを制作する上で基本的なセキュリティ要件です。もし、自社サイトのセキュリティに不安がある場合は、専門家にご相談いただくことをお勧めします。

CONTACTUS!

ホームページ制作のご依頼・ご相談は、Webディレクターのあがのが対応させていただきます。

新規制作 / リニューアル / 無料相談 070-9000-7474 平日　9:30〜18:00