本文へスキップ

FUNDAMENTAL INFORMATION TECHNOLOGY ENGINEER

基本情報技術者の問題解説:XSSへの対策として最も適切なものはどれか。

テクノロジ系 標準 fe_a_s004_q005

問題

XSSへの対策として最も適切なものはどれか。

  1. 画像ファイルの解像度を下げる
  2. バックアップ媒体を遠隔地に保管する
  3. 出力時のエスケープと入力値検証(正解)
  4. DBの正規化を第1正規形に留める
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲

正解と解説

正解:出力時のエスケープと入力値検証

考え方:XSSは、掲示板や入力フォームなどに混入したスクリプトが、別の利用者のブラウザで実行されてしまう攻撃です。HTMLとして出力するときに <> などをエスケープし、危険な入力を検証することで、スクリプトとして解釈されることを防げます。

誤答の理由:遠隔地バックアップは災害や障害への対策、画像解像度の変更は表示品質の話、正規化を第1正規形に留めることはDB設計の話であり、ブラウザ上のスクリプト実行対策ではありません。

軽い類題:コメント欄に <script> を書かれても画面でただの文字として表示されるなら、出力エスケープが効いていると考えられます。

他の選択肢はなぜ違う?

  • 解像度は表示品質の話。攻撃対策ではない。
  • バックアップはデータ保全策。スクリプトの埋め込みは防げない。
  • 正規化の程度はDB設計の話で、出力時のエスケープとは無関係。

この問題について

出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲

IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。

公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。

参考範囲: シラバスVer.9.2参考

参考文献・出典(公式情報)

RELATED

関連問題