先生と生徒の会話形式で理解しよう

生徒

「ASP.NETでWebサイトを作るとき、セキュリティって何から気をつければいいんですか？」

先生

「まず知っておきたいのが、クロスサイトスクリプティング、通称XSSです。」

生徒

「英語ばかりで難しそうですね…。初心者でも理解できますか？」

先生

「大丈夫です。仕組みを図解のようにイメージしながら、ASP.NETでの対策も一緒に見ていきましょう。」

1. クロスサイトスクリプティング（XSS）とは？

クロスサイトスクリプティング（XSS）とは、Webサイトの入力欄などを悪用して、不正なプログラムを他人の画面で実行させてしまう攻撃のことです。ASP.NETに限らず、多くのWebアプリケーションで問題になります。

とても簡単に言うと、「掲示板に書き込んだ文章だと思ったら、中身はプログラムだった」という状態です。これにより、他人のログイン情報を盗まれたり、勝手に操作されたりします。

2. XSSが起こる仕組みを超シンプルに理解する

XSSの仕組みは「入力 → 保存 → 表示」の流れで考えると分かりやすいです。例えば、名前を入力するフォームがあり、その内容をそのまま画面に表示している場合を想像してください。

本来は「田中」と表示したいだけなのに、そこにプログラムが混ざると、ブラウザは文章ではなく命令として実行してしまいます。これがXSSの正体です。

以下は、ユーザーの入力をそのまま画面に表示してしまう危険な例です。初心者がやってしまいがちな書き方なので注意が必要です。


string userName = Request.QueryString["name"];
Response.Write(userName);

この場合、URLに不正なスクリプトが含まれていると、そのまま実行されてしまいます。ASP.NETでも、何も考えずに表示するとXSSの原因になります。

XSSが成功すると、攻撃者は他人のブラウザを自由に操作できます。たとえば、ログイン状態のまま勝手に投稿されたり、入力したパスワードを盗まれたりします。

これは「家のポストに入れた手紙を、別の人が勝手に読んで書き換える」ようなものです。利用者は何も悪くないのに、被害を受けてしまいます。

ASP.NETで最も基本的なXSS対策は、HTMLエンコードです。これは、特別な意味を持つ記号を安全な文字に変換する処理です。


string userName = Request.QueryString["name"];
Response.Write(Server.HtmlEncode(userName));

このように書くことで、プログラムはただの文字として表示され、実行されなくなります。ASP.NETのセキュリティ対策として必須の考え方です。

ASP.NET MVCやASP.NET Coreでは、Razor構文を使うことで、自動的にXSS対策が行われます。これも初心者にとって安心できる仕組みです。


<p>@Model.UserName</p>

Razorでは、特別な設定をしなくても自動でエンコードされます。そのため、無理に生のHTMLを表示しないことが大切です。

ASP.NETでは、意図的にHTMLをそのまま表示する方法もあります。しかし、これはXSSの危険が高まるため、初心者は使わない方が安全です。


@Html.Raw(Model.Comment)

この書き方は「何があってもそのまま表示する」という意味になります。安全性を十分に理解していないうちは避けるのが無難です。

ASP.NETには多くのセキュリティ機能がありますが、「フレームワークが守ってくれるから大丈夫」と思い込むのは危険です。入力されたデータは疑う、表示するときは必ず安全にする、という意識が重要です。

XSS対策は難しい専門知識よりも、基本を守ることが最大の防御になります。初心者のうちから正しい書き方を身につけることが、安心できるWebアプリケーションへの近道です。