HSTS（HTTP Strict Transport Security）

Webブラウザに対して、ページ内で読み込み可能なリソースの提供元を制限するHTTPレスポンスヘッダ。スクリプト、スタイルシート、画像などのリソース種別ごとに許可するオリジンを指定でき、XSS攻撃やデータインジェクション攻撃の影響を軽減する。

トランスポート層で通信の暗号化・認証・改ざん検知を提供するプロトコル。TLS 1.3では暗号スイートがAEADとハッシュアルゴリズムの組みに簡素化され、ハンドシェイクの効率化とセキュリティ強化が図られた。HTTPS、IMAPS、SMTPS等で広く利用される。

HTTPレスポンスヘッダに改行コードを含む不正な値を挿入し、レスポンスヘッダやボディを操作する攻撃。Cookieの不正設定、偽のレスポンスボディの挿入、キャッシュ汚染などが可能になる。対策として改行コードの除去や外部入力値のヘッダへの直接出力の回避がある。

外部から受け取るデータが期待される形式・範囲・長さであることを検証する処理。ホワイトリスト方式（許可する値のみ受け入れ）が推奨される。Webアプリケーションにおけるインジェクション系攻撃の根本的対策の一つであり、サーバ側での検証が必須となる。

HTMLやSQL、OSコマンドなどにおいて特別な意味を持つ文字（メタ文字）を無害な文字列に変換する処理。XSS対策では「<」「>」「&」「"」などをHTMLエンティティに変換し、SQLインジェクション対策ではシングルクォートなどをエスケープする。出力先のコンテキストに応じた適切なエスケープが重要。

リスクを修正する対策を講じること。リスク低減の具体的手段として、技術的対策（暗号化、アクセス制御等）や運用的対策（手順の整備、教育等）を実施してリスクレベルを許容範囲内に抑える。