HTMLのインジェクション攻撃を防ぐ方法を現役デザイナーが解説【初心者向け】

HTMLのインジェクション攻撃を防ぐ方法について、TechAcademyのメンター（現役エンジニア）が実際のコードを使用して初心者向けに解説します。

そもそも、HTMLの記述方法がわからない場合は、 HTMLの書き方について解説した記事を読むとさらに理解が深まります。

 

なお本記事は、TechAcademyのオンラインブートキャンプ、Webデザイン講座のHTMLカリキュラムをもとに執筆しています。

 

 

目次

• インジェクション攻撃とは
• HTMLインジェクションについて
• 対処法

 

インジェクション攻撃とは

インジェクション攻撃とは、データベースやプログラムの脆弱（ぜいじゃく）性を利用した、サイバー攻撃や不正アクセスの総称のことを指します。同じ意味で「インジェクションアタック」や「コードインジェクション」とも呼ばれたりします。悪意のある攻撃者がバグなどのコードの脆弱性の高いプログラムに対して別のプログラムを使用して不正な命令を実行しプログラムを改変し不正な操作を行います。

近年問題視されている乗っ取り被害や顧客情報の流出などはまさにインジェクション攻撃の典型的な例です。

 

[PR] Webデザインで副業する学習方法を動画で公開中

HTMLインジェクションについて

HTMLインジェクションはユーザのブラウザ上でサイト管理者の意図しない操作をHTMLやスクリプトを混入させられてしまう問題のことを言います。近年のWebサイトはクライアント（ブラウザ）やサーバーの一方的な通信だけでなく、スクリプトを使用した対話的なやり取りが簡単に出来るようになりました（下図）。

ショッピングサイトやSNSサイトなどをイメージすると分かるようにユーザーの入力に合わせてサーバー側で処理を行いその結果に合わせて静的なサイトでも動的に画面表示を変更できるようになってます。

この時にサーバーからのレスポンスにHTMLと解釈されるデータが有った場合、管理者が本来意図しない動作が行われることになります。これがHTMLインジェクションの一つである、HTMLの脆弱性を利用した攻撃である、クロスサイトスクリプティング（XSS）です。

攻撃者のサイトを踏んでユーザーを目的のサイトに送らせるためにスクリプトがサイトをまたがって実行されることからこの名前がつけられています。

 

対処法

それでは、具体的にどのような対策をするべきかをいくつか紹介します。なお、今回はHTMLインジェクションが広義的なので、先ほど紹介したXSSを例に対策方法を紹介します。

その1.入力値を制限

入力値の制限することでスクリプトの入力を防ぐことができ、XSSが発生しなくなります。具体的には、郵便番号や電話番号の入力を要求する箇所では、数字の入力以外を許可しない仕様にすれば、スクリプトの入力を防ぐことができます。

また、入力する文字数を制限することもクロスサイトされる可能性のあるスクリプトの入力を防ぐことができます。この場合入力値の制限はサーバー側で行うのが安全です、ブラウザ側の入力チェック機能だけだとブラウザによっては無効になっていたり、実行前の画面を修正できてしまうのでサーバー側で制限設定を実装しましょう。

その2.サニタイジング

サニタイジングとはHTMLとして意味のある文字を別の文字列に置き換える処理のことです。インジェクションが必要としている&，<，>，”，’の記号を置換してこれらをただの文字列としてブラウザで表示させる手法です。

この処理をscriptタグに対して処理を行うことで、scriptタグとして認識されなくなるので不正な操作を防ぐことができ、XSSに有効です。

 

監修してくれたメンター

メンター 三浦 モバイルゲームを運用している会社のエンジニアをしています。趣味でWEB開発やクラウドコンピューティングもやっており、ソフトもハードもなんでもやります。 TechAcademyジュニアではPythonロボティクスコースを担当しています。 好きな言語はpython, Node.js

 

TechAcademyでは初心者でも、オリジナルWebサイトを公開できる、オンラインブートキャンプを開催しています。

また、現役エンジニアから学べる無料体験も実施しているので、ぜひ参加してみてください。