Pockit
Back

なぜ<script>は実行されないのか?(HTMLエンティティとXSS防御)

Webサイトのコメントボックスに <script>alert('hacked');</script> と入力すると、どうなるでしょうか?

ほとんどの安全なWebサイトでは、スクリプトは実行されず、代わりにテキスト文字列が入力されたとおりに表示されます。

ブラウザは通常、< をタグの開始として解釈します。では、なぜコードとして実行せずにテキストとして表示することを知っているのでしょうか?

その秘密は HTMLエンティティ にあります。

1. 予約文字のジレンマ

HTMLでは、<>&" などの文字には特別な意味があります。これらは 予約文字 と呼ばれます。

コンテンツに「3 < 5」という式を書きたい場合、そのまま入力すると、ブラウザは < の後に続くものをタグとして解釈しようとして混乱する可能性があります。

したがって、これらの予約文字を「文字通り」表現するための特別なコードが必要です。

2. 一般的なHTMLエンティティ

HTMLエンティティは & で始まり、; で終わります。

  • < (小なり) -> &lt;
  • > (大なり) -> &gt;
  • & (アンパサンド) -> &amp;
  • " (二重引用符) -> &quot;
  • ' (一重引用符) -> &#39; (または &apos;)
  • スペース -> &nbsp; (改行しないスペース)

画面上で < が見えるとき、実際のHTMLソースコードはおそらく &lt; です。

3. XSS(クロスサイトスクリプティング)に対する防御

HTMLエンティティはセキュリティにとって重要です。

XSS は、ハッカーが悪意のあるスクリプトをWebサイトに注入して、ユーザーのクッキーを盗んだり、有害なアクションを実行したりする攻撃です。

しかし、サーバーがユーザー入力を保存または表示するときに <&lt; に、>&gt; に変換(エスケープ)するとどうなるでしょうか?

ブラウザは &lt;script&gt; を見て、「これはただのテキストであり、タグではない」と判断し、スクリプトを実行せずにテキストとしてレンダリングします。これは、XSSに対する最も基本的で強力な防御策です。

結論

ReactやVueのような最新のフロントエンドフレームワークは、レンダリング時にデフォルトでデータを自動的にエスケープします。

ただし、dangerouslySetInnerHTML のような機能を使用する場合、この自動防御は無効になります。そのような場合は、HTMLエンティティ変換が適用されていることを確認する必要があります。

単純な文字変換が、ハッキングからWebサイトを保護する盾として機能します。

TechHTMLSecurityWeb

関連ツールを見る

Pockitの無料開発者ツールを試してみましょう

PDF分割
必要なページだけを取り出せます。大きなドキュメントを分割したり、特定のページだけを安全に抽出して保存できます。
使ってみる
PDF画像変換
PDFを画像として活用しましょう。ドキュメントの各ページを高画質なJPGやPNGに変換してダウンロードできます。
使ってみる
Base64変換
データを安全に変換・復元。テキストやファイルをBase64形式にエンコード、またはデコードします。サーバー通信はありません。
使ってみる
ハッシュ生成
データの指紋を作成します。テキストからMD5やSHAハッシュを生成し、データの改ざんがないかを検証できます。
使ってみる
画像Base64変換ツール
画像をBase64文字列に即変換。PNG、JPG、GIFをData URIまたは純Base64にエンコードしてHTML/CSSに直接埋め込み。サーバーアップロード不要、ブラウザで安全に処理。
使ってみる
Base64画像デコーダー
Base64文字列を画像に即デコード。Data URIをPNG、JPG、SVGファイルでダウンロード。APIレスポンス画像確認、JWT画像抽出に最適。サーバーアップロード不要でブラウザ処理。
使ってみる