「クロスサイトスクリプトを防止するために、このページを変更しました」と表示され、表示されないコンテンツがある

ホーム>Information>クロスサイトスクリプトを防止するために、このページを変更しました」と表示され、表示されないコンテンツがある

この情報はお役に立ちましたか?よろしければ皆様にもお知らせください。

  このエントリーをはてなブックマークに追加 mixiチェック  

InternetExplorerを使ってブラウジングしているときに、「Internet Explorerはクロスサイトスクリプト防止のために、このページを変更しました。」と画面表示され、一部のコンテンツが表示されなくなることがあります。

クロスサイトスクリプトとは

クロスサイトスクリプティングとは、Webアプリケーションのセキュリティホールの一つで、略してXSS(Cross site scripting)と書きます。

このセキュリティホールは、OSやブラウザのセキュリティホールではなく、CGIなどの設計ミスによるセキュリティホールのため、セキュリティパッチのようなものは存在しません。強いていうならば、ブラウザの機能として、クロスサイトスクリプトをしていると思われる箇所を無効にしてしまう、という強制的なシャットアウト機能による対策が上げられます。上記のようなメッセージが出た場合には、クロスサイトスクリプトが疑われるコードが、ウェブページ内にある場合に表示されます。

当サイトにおいても一部コンテンツが影響を受け、表示されない場合があります。しかし、当サイトのように、クロスサイトスクリプトに該当する部分が、Google等のサービスを利用している箇所であり、危険性がない場合には、この機能を回避するための手段を講じることができます。

閲覧者側の対応

ユーザの対応としては、InternetExplorerの「ツール」→「インターネットオプション」→「セキュリティ」タブ→「レベルノカスタマイズ」→「スクリプト」の項目の「XSSフィルターを有効にする」を「無効にする」にチェックして、「OK」をクリックします。

XSSフィルターの無効

コンテンツ提供者側の対応

コンテンツ提供者側が、自作のCGIなどを実行する場合には、ユーザからの入力文字を、一旦、ブラウザに影響を与えないような安全な文字列に変換させてから処理しなければなりません。例えば、<を<に変換するなどがそれに当たります。

関連リンク

よく読まれている記事

UpDate:2011-12-16