応用情報技術者試験平成30年秋午前問41 解説付き過去問

問題

クロスサイトスクリプティング対策に該当するものはどれか。

WebサーバでSNMPエージェントを常時稼働させることによって、攻撃を検知する。

WebサーバのOSにセキュリティパッチを適用する。

Webページに入力されたデータの出力データが、HTMLタグとして解釈されないように処理する。

許容量を超えた大きさのデータをWebページに入力することを禁止する。

この問題は、クロスサイトスクリプティング（XSS）対策に関するもので、Webページの安全性を保持するための適切な手法を選択することが求められています。

クロスサイトスクリプティング（XSS）とは
XSSは、悪意あるスクリプトがWebページに注入され、他のユーザーのブラウザ上で実行されるセキュリティ攻撃です。攻撃者は、スクリプトを通じてユーザーのセッション情報を盗んだり、不正な操作を実行させたりすることが可能です。
XSS攻撃の防御方法
クロスサイトスクリプティングの防御には、ユーザーから入力されたデータを適切に処理し、エスケープすることが重要です。この処理により、入力データがHTMLタグとして解釈されずに、安全なテキストとしてブラウザに表示されます。具体的には、特殊文字をHTMLエンティティに変換するなどの方法があります。
その他の選択肢の評価
SNMPエージェントの常時稼働や、セキュリティパッチの適用、データサイズ制限は、それぞれがセキュリティ対策の一環ではありますが、直接的にXSS攻撃を防ぐものではありません。これらはサーバーやシステム全体のセキュリティを向上させるための措置であり、XSS対策としては不十分です。

したがって、XSS対策として最も適切な選択は、「Webページに入力されたデータの出力データが、HTMLタグとして解釈されないように処理する」という方法です。これにより、悪意のあるスクリプトが実行されることを防ぐことができます。