【スクリプトインジェクション対策09】ウィジットを利用しない

JavaScriptやiframeを利用してWebアプリに簡単に機能追加できるウィジットがあります。便利な機能を非常に手軽に追加できますが、悪意のあるウィジットは悪意のあるスクリプトやFlashオブジェクト、PDFなどを使い、さまざまな攻撃を行えます。

信頼できないウィジットは利用しないようにするべきです。大手サイトが提供しているウィジットであっても、第三者から提供されているウィジットの場合もあります。ウィジットにはiframeが利用されることも多く、iframeを利用した攻撃は非常に多いです。

JavaScriptを利用したウィジットはさらに危険です。ページの改ざんも容易に行えます。リモートJavaScriptを利用したウィジッドは、ウィジットの提供者を完全に信頼できる場合にのみ利用しなければなりません。

インストール時のウィジットに問題がなくても中身が意図的に変更されたり、ウィジットを提供しているサイトがクラックされて不正なコードをホストする可能性もあります。セキュリティが重要なサイトではウィジットの採用は非常に慎重に行うべきです。