4.1 クロスドメインスクリプトとは
クロスドメインスクリプトとは情報収集の手段の一つで、クロスサイトスクリプトとも呼ばれています。
フィッシング詐欺に少し似ていますが、クロスドメインスクリプトの場合悪意ある第三者は銀行やカード会社といった個人情報を入力するサイトへ誘導を行うサイトと、そのサイトに仕込むスクリプトを作ります。
誘導を行うサイトにアクセスすることで、サイトに仕込まれたスクリプトがユーザーの知らない内に実行されています。
そして実行されているスクリプトは、誘導先のサイトでユーザーが入力した情報を抽出して悪意ある第三者へ送るという働きをします。
誘導先のサイトは銀行やカード会社の本物のサイトなのでユーザーは安心して情報を入力してしまいますが、その裏ではスクリプトが情報収集をして悪意のある第三者へ送っているということです。
4.2 クロスドメインスクリプトバリアの働き
クロスドメインスクリプトバリアは、その名の通りクロスドメインスクリプトを防ぎます。
しかしその働きは私達の眼に入らない場所で行われています。
先述したように、悪意ある第三者が作ったサイトには、入力した情報を抽出して悪意ある第三者へ送るスクリプトが仕込まれています。
クロスドメインスクリプトバリアはサイトに仕込まれたスクリプトの情報を収集し、そのスクリプトが同じドメイン内で動作するものであればそのまま動作をさせますが、もしも別のドメイン上で動作するように作られているスクリプトであれば阻止します。
