HTMLのインジェクション攻撃を防ぐ方法を現役デザイナーが解説【初心者向け】

初心者向けにHTMLのインジェクション攻撃を防ぐ方法について解説しています。最初に、サイバー攻撃のひとつインジェクション攻撃とHTMLインジェクションについて説明します。次にインジェクション攻撃への対処法として入力値を制限する方法、サニタイジングを行う方法について学習しましょう。

テックアカデミーマガジンは受講者数No.1のプログラミングスクール「テックアカデミー」が運営。初心者向けにプロが解説した記事を公開中。現役エンジニアの方はこちらをご覧ください。 ※ アンケートモニター提供元:GMOリサーチ株式会社 調査期間:2021年8月12日~8月16日  調査対象:2020年8月以降にプログラミングスクールを受講した18~80歳の男女1,000名  調査手法:インターネット調査

HTMLのインジェクション攻撃を防ぐ方法について、TechAcademyのメンター(現役エンジニア)が実際のコードを使用して初心者向けに解説します。

そもそも、HTMLの記述方法がわからない場合は、 HTMLの書き方について解説した記事を読むとさらに理解が深まります。

 

なお本記事は、TechAcademyのオンラインブートキャンプ、Webデザイン講座のHTMLカリキュラムをもとに執筆しています。

 

田島悠介

今回は、HTMLに関する内容だね!

大石ゆかり

どういう内容でしょうか?

田島悠介

インジェクション攻撃を防ぐ方法について詳しく説明していくね!

大石ゆかり

お願いします!

 

目次

1時間でできる無料体験!

 

インジェクション攻撃とは

インジェクション攻撃とは、データベースやプログラムの脆弱(ぜいじゃく)性を利用した、サイバー攻撃や不正アクセスの総称のことを指します。同じ意味で「インジェクションアタック」や「コードインジェクション」とも呼ばれたりします。悪意のある攻撃者がバグなどのコードの脆弱性の高いプログラムに対して別のプログラムを使用して不正な命令を実行しプログラムを改変し不正な操作を行います。

近年問題視されている乗っ取り被害顧客情報の流出などはまさにインジェクション攻撃の典型的な例です。

 

[PR] Webデザインで副業する学習方法を動画で公開中

HTMLインジェクションについて

HTMLインジェクションはユーザのブラウザ上でサイト管理者の意図しない操作をHTMLやスクリプトを混入させられてしまう問題のことを言います。近年のWebサイトはクライアント(ブラウザ)やサーバーの一方的な通信だけでなく、スクリプトを使用した対話的なやり取りが簡単に出来るようになりました(下図)。

ショッピングサイトやSNSサイトなどをイメージすると分かるようにユーザーの入力に合わせてサーバー側で処理を行いその結果に合わせて静的なサイトでも動的に画面表示を変更できるようになってます。

この時にサーバーからのレスポンスにHTMLと解釈されるデータが有った場合、管理者が本来意図しない動作が行われることになります。これがHTMLインジェクションの一つである、HTMLの脆弱性を利用した攻撃である、クロスサイトスクリプティング(XSS)です。

攻撃者のサイトを踏んでユーザーを目的のサイトに送らせるためにスクリプトがサイトをまたがって実行されることからこの名前がつけられています。

 

対処法

それでは、具体的にどのような対策をするべきかをいくつか紹介します。なお、今回はHTMLインジェクションが広義的なので、先ほど紹介したXSSを例に対策方法を紹介します。

その1.入力値を制限

入力値の制限することでスクリプトの入力を防ぐことができ、XSSが発生しなくなります。具体的には、郵便番号や電話番号の入力を要求する箇所では、数字の入力以外を許可しない仕様にすれば、スクリプトの入力を防ぐことができます。

また、入力する文字数を制限することもクロスサイトされる可能性のあるスクリプトの入力を防ぐことができます。この場合入力値の制限はサーバー側で行うのが安全です、ブラウザ側の入力チェック機能だけだとブラウザによっては無効になっていたり、実行前の画面を修正できてしまうのでサーバー側で制限設定を実装しましょう。

その2.サニタイジング

サニタイジングとはHTMLとして意味のある文字を別の文字列に置き換える処理のことです。インジェクションが必要としている&,<,>,”,’の記号を置換してこれらをただの文字列としてブラウザで表示させる手法です。

この処理をscriptタグに対して処理を行うことで、scriptタグとして認識されなくなるので不正な操作を防ぐことができ、XSSに有効です。

 

コラム

実は私も!?独学で損する人の特徴

「スクールは高いから独学で成功する」という気持ちの方は多いと思います。
もちろんその方が金額は低く抑えられるでしょう。
ただ 独学には向き不向きがあり、実はスクールが向いている人も大勢います。

そんな方のために参考として、 テックアカデミー卒業生がスクールを選んだ理由 をご紹介します。

  • ・困って挫折しそうなときに、質問や相談できる相手がいる環境で学んでいきたいなと思った
  • ・わかった気になっているだけだったので、自分を追い込む環境に置いた方がいいと感じた
  • ・スクールのカリキュラムで市場に求められるスキルを学ぶべきと思った

少しでも当てはまる部分があれば、 スクールが向いているかもしれません。
お試しのつもりで、まずは一度 無料相談 に参加してみませんか?

現役エンジニア・デザイナーに何でも気軽に相談できる30分すべて無料で できます。
無理な勧誘は一切ない ので、お気軽にご参加ください。

今なら相談した方限定の割引・参加特典付き! 無料相談はこちら

監修してくれたメンター

メンター 三浦

モバイルゲームを運用している会社のエンジニアをしています。趣味でWEB開発やクラウドコンピューティングもやっており、ソフトもハードもなんでもやります。
TechAcademyジュニアではPythonロボティクスコースを担当しています。
好きな言語はpython, Node.js

 

大石ゆかり

内容分かりやすくて良かったです!

田島悠介

ゆかりちゃんも分からないことがあったら質問してね!

大石ゆかり

分かりました。ありがとうございます!

TechAcademyでは初心者でも、オリジナルWebサイトを公開できる、オンラインブートキャンプを開催しています。

また、現役エンジニアから学べる無料体験も実施しているので、ぜひ参加してみてください。

初心者・未経験でもできる。まずはテックアカデミーに相談しよう

プログラミングを独学していて、このように感じた経験はないでしょうか?

  • ・調べてもほしい情報が見つからない
  • ・独学のスキルが実際の業務で通用するのか不安
  • ・目標への学習プランがわからず、迷子になりそう

テックアカデミーでは、このような 学習に不安を抱えている方へ、現役エンジニア講師とマンツーマンで相談できる機会を無料で提供 しています。
30分間、オンラインでどんなことでも質問し放題です。

「受けてよかった」と感じていただけるよう 厳しい試験を通過した講師 があなたの相談に真摯に向き合います。

「ただ気になることを相談したい」
「漠然としているがプロの話を聞いてみたい」

こんな気持ちでも大丈夫です。

無理な勧誘は一切ありません ので、まずはお気軽にご参加ください。
※体験用のカリキュラムも無料で配布いたします。(1週間限定)

今なら参加者限定の割引特典付き! 無料相談を予約する