掲示板のセキュリティについてアドバイスお願い致します

Wordpressでログインなしの質問・回答形式の掲示板を作成しております。

参考サイトにあるようにセッションで入力画面 → 確認画面 → 登録処理を行っていて、ページ遷移に該当するため攻撃を受けないか不安です。
ログイン制を導入していないため個人情報保護の義務はないと思うのですが、各攻撃の対策は必要でしょうか？

クロスサイト・スクリプティングに記載してある対策の1つとして、<script>...</script> 要素の内容を動的に生成しないと書いてあるのですが、今後回答画面を作る際にJavascriptでHTMLクラスを書き換えて入力画面と確認画面のHTMLを動的に切り替えようと考えているため、そちらを対策すべきかアドバイスお願い致します。

※クロスサイト・スクリプティング
https://www.ipa.go.jp/security/vuln/websecurity/ …

※クロスサイト・リクエスト・フォージェリ
https://www.ipa.go.jp/security/vuln/websecurity/ …

※HTTPヘッダ・インジェクション
https://www.ipa.go.jp/security/vuln/websecurity/ …

※該当コード
https://wandbox.org/permlink/O3xpi6vJpg0Q7HKp

質問者からの補足コメント

• 

  アドバイスありがとうございます、お聞きしたいことがあります。
  掲示板やメールフォームなどセッションを使う場合、
  　入力（index.php） → 確認（confirm.php） → 送信（send.php） と画面を遷移する流れになっていますが、
  
  入力 (index.php経由のinput.php）、
  確認（index.php経由のconfirm.php）、
  送信（index.php経由のsendmail.php）となっていて全てindex.phpを経由している場合、
  直接sendmail.phpへPOSTされても、最初の判定で無視されるので大丈夫という見解は間違えでしょうか？
  もし対策になるのであれば掲示板も全て参考コードのようにindex.phpを通すように作り変える予定です。
  
  ※参考コード
  https://ara-web.net/blog/wordpress/post-3683/

  No.1の回答に寄せられた補足コメントです。 補足日時：2023/08/14 19:31

No.1 ベストアンサー 回答者： Ogre7077 回答日時： 2023/08/13 00:19

規模の大小や商用個人用を問わず、

全てのウェブサイトに全ての脆弱性対策が必要です。

すくなくとも IPA が公開している「ウェブ健康診断仕様」全項目はパスしましょう
https://www.ipa.go.jp/security/vuln/websecurity/ …

脆弱性があるウェブサイトを放置して攻撃されたままにすると、
もはやサイトが存在するだけで害悪となってしまいます。
事例) ウェブが攻撃により改竄されボット感染源にされる
https://xtech.nikkei.com/it/pc/article/news/2008 …

画面を動的に切り替える js を多用するのは何ら問題ありません
js の読み込みを php で制御するのも問題ありません
js 文中に php を埋め込むのは避けるべきでしょう

この回答へのお礼

回答ありがとうございます、画面を動的に切り替える js について勉強になりました。ありがとうございます、ログイン画面がない場合のお問い合わせフォームを参考質問と同じように作成しているのですが、クロスサイトスクリプティングとクロスサイトリクエストフォージェリの対策はやはり必要でしょうか？

※参考サイト
https://sakurug.co.jp/news/3222/

※参考質問
https://teratail.com/questions/71592

お礼日時：2023/08/14 19:00