IPAが「DOM Based XSS」の脆弱性に関するレポートを公開：JavaScripterに捧げる

　情報処理推進機構（IPA）は1月29日、最近届け出が増えているという「DOM Based XSS」の脆弱性に関する技術レポートを公開した。Webサイトの構築や運営に携わるエンジニアや、JavaScriptを用いた動的なアプリケーションの開発者に一読を勧めている。

　DOM Based XSSは、名称が示すとおりクロスサイト・スクリプティング（XSS）の脆弱性だ。悪用されれば、意図しないスクリプトが実行されてしまうおそれがある。

　一般的なXSSの脆弱性はWebサーバ側のプログラム（アプリケーション）に起因するのに対し、DOM Based XSSは、ブラウザのプラグインなど、クライアント側のプログラムに作り込まれてしまう場合もある点に注意が必要だ。しかも、2012年のIPAへのDOM Based XSSの届出件数は120件あったが、うち92件は第4四半期の届け出であり、最近になって急増していることが分かる。

　「『DOM Based XSS』に関するレポート」は、こうした背景を踏まえて公開された。レポートでは、そもそもDOM（Document Object Model）とは何かというところから始まり、届け出られた脆弱性の中からコードのサンプルを示しながら、問題の原因について解説している。中には、jQuery Mobileの古いバージョンを用いたことに起因するケースもあったという。

　その上でレポートは、「DOM操作用のメソッドやプロパティを使用する」「文脈に応じてエスケープ処理を施す」「JavaScriptのライブラリに起因する問題の場合は、ライブラリをアップデートする」という対策を実施する方法を解説。Webアプリケーションの開発者に、ぜひDOM Based XSSの問題について理解し、対策の参考にしてほしいとしている。