米Googleは、Webサイトのコードを調べてセキュリティ問題の発見を支援するChromeブラウザの拡張機能「DOM Snitch」の試験版を開発者向けにリリースした。
GoogleのTestingブログによると、同社がこれまでに提供してきた開発者向けのセキュリティ診断ツールがサーバサイドのコードのチェックに主眼を置いていたのに対し、DOM Snitchではクライアントサイドコードの問題を見つけ出せるのが特徴だという。
同ツールを実行すると、例えば「document.write」「HTMLElement.innerHTML」など、潜在的に危険なJavaScriptのメソッドやプロパティを見つけ出し、その文書のURLとスタックトレースを記録する。
この情報をもとに、クロスサイトスクリプティングやコンテンツ混合、DOMアクセスポリシーに関する同一生成元ポリシーの改ざんなど、クライアントサイドのセキュリティ問題につながる可能性があるかどうかを診断できるという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR