FE SUBJECT A
基本情報技術者 科目Aの問題解説:XSSへの対策として最も適切なものはどれか。
問題
XSSへの対策として最も適切なものはどれか。
- ア 画像ファイルの解像度を下げる
- イ バックアップ媒体を遠隔地に保管する
- ウ 出力時のエスケープと入力値検証(正解)
- エ DBの正規化を第1正規形に留める
出典:オリジナル問題|参考範囲:試験要綱Ver.5.5 / FEシラバスVer.9.2 科目A範囲
正解と解説
正解:出力時のエスケープと入力値検証
考え方:XSSは、掲示板や入力フォームなどに混入したスクリプトが、別の利用者のブラウザで実行されてしまう攻撃です。HTMLとして出力するときに < や > などをエスケープし、危険な入力を検証することで、スクリプトとして解釈されることを防げます。
誤答の理由:遠隔地バックアップは災害や障害への対策、画像解像度の変更は表示品質の話、正規化を第1正規形に留めることはDB設計の話であり、ブラウザ上のスクリプト実行対策ではありません。
軽い類題:コメント欄に <script> を書かれても画面でただの文字として表示されるなら、出力エスケープが効いていると考えられます。
他の選択肢はなぜ違う?
- ア解像度は表示品質の話。攻撃対策ではない。
- イバックアップはデータ保全策。スクリプトの埋め込みは防げない。
- エ正規化の程度はDB設計の話で、出力時のエスケープとは無関係。
この問題について
IPAが公開するシラバス・試験範囲・公開問題の出題形式を参考にした独自作成問題。公式問題・過去問題の転載ではありません。
公式試験問題、過去問題、公式サンプル問題、市販教材の問題文を転載したものではありません。