Webアプリケーションの開発において、クロスサイト・スクリプティング脆弱性は、たいへん深刻なセキュリティ問題となっています。
クロスサイト・スクリプティングとは、HTML や XML の特性を利用して Web サイトの脆弱性を突くクラッキング手法です。
フォームなどへの入力時に不正な文字列(スクリプト)を打ち込むことによって Cookie の中身が別のサイトに転送され、その結果、第三者が正規のユーザになりすますといった行為を可能とさせます。
これによって、システム内にある個人情報が外部に漏洩されるという危険性が大きくなります。
他のサイトにまたがってスクリプトが実行されることから、クロスサイト・スクリプティングと呼ばれています。
クロスサイト・スクリプティングは、変数や文字列の値を画面上に出力する際、HTML などのマークアップ言語で定義されている一部の特殊文字をエスケープ出力させなければならない処理を、コンテンツの開発者が実装し忘れてしまうことが大きな原因となっています。
そこで JSTL では、文字列や変数の値を出力するために使用されていた <%= expression %> タグの代わりに、<c:out> および <x:out> の両タグを標準で用意しています。
これらのタグに対し escapeXml 属性を有効 ( true ) にした状態で実行させると、下の表に示されている特殊文字が自動的にエスケープ出力されるようになります。
なお、escapeXml 属性は、デフォルトで有効 ( true ) とするよう JSTL 仕様で定められています。
例)
エスケープ文字 出力エンティティ文字 < < > > & & ' ' " "