中小企業診断士の過去問 平成28年度（2016年） 経営情報システム 問20

エスケープ処理とは、プログラムの中で使う特殊な記号を「ただの文字」として扱いたい時に行う処理です。（出所：SENCE SHARE「エスケープ処理とは？」（https://blog.senseshare.jp/escape.html）

エスケープ処理によって、特殊な記号がただの文字になってしまうため、悪意ある処理が実行されてしまうことを防止することが出来ます。

しかしながら、エスケープ処理はクリックジャッキング攻撃の防止方法ではありません。

WebページのHTTPレスポンスヘッダにX-Frame-Optionsを指定・出力することが、クリックジャッキング攻撃への対策となります。

正解の選択肢となります。

クロスサイトスクリプティング（XSS）とは、脆弱性のある入力フォームや掲示板などに、悪意のある第三者が罠を仕掛け、個人情報などを盗む被害をもたらします。罠が仕掛けられたリンクをクリックすると、別WEBサイトに遷移し、悪意のある画面が表示され、マルウェア感染などを引き起こします。（出所：NTT PC Communications「クロスサイトスクリプティング（XSS）とは？対策・被害事例を紹介」（https://www.nttpc.co.jp/column/security/cross_site_scripting.html#）

対策としては、セキュリティサービスWAF（Web Application Firewall）の導入、エスケープ処理、サニタイジングを行う、常に最新の環境を保つ（バージョンアップにより対策される）、httpやhttpsから始まるURLのみ出力を許可する、入力値を制限する等とあり、「クリックに応じた処理を実行する直前のページで再度パスワードの入力を求め、再度入力されたパスワードが正しい場合のみ処理を実行すること」ではありません。