ReactとXSS 2021/07/15 山田悠之介

XSS (Cross-site scripting) 悪意のあるスクリプトを閲覧者のブラウザで実行すること 反射型 XSS、格納型 XSS、DOM Based XSS などの種類があるが いずれも XSS するためには文字列として入力したスクリプトを 標的となるサイトで実行させなければならない 2

React React では XSS 対策として文字列はエスケープされる。 https://ja.reactjs.org/docs/jsx-in-depth.html#string-literals 3

生成される HTML export default function Home() { const script = ` while (1) { alert('!'); } `; return {script}; } ↓ <script> while (1) { alert('!'); } </script> 4

innerHTML 標準の JS や jQuery で HTML を動的に生成するときには innerHTML を使っていた。 React では... 5

dangerouslySetInnerHTML https://ja.reactjs.org/docs/dom- elements.html#dangerouslysetinnerhtml export default function Home() { const script = ... const html = { __html: script }; return ( ; ); } 6

href, src export default function Home() { const script = ` javascript: while (1) { alert('!'); }`; return ( link ); } 7

"javascript:"は deprecated https://reactjs.org/blog/2019/08/08/react- v16.9.0.html#deprecating-javascript-urls 将来的にはエラーにする 8

その他 DOM 要素の取得 (findDOMNode, createRef) からの innerHTML createElement SSR + Redux eval（React 関係ないけど） 9

回避するには ユーザの入力を無害化する DOMPurify 10

import DOMPurify from "isomorphic-dompurify"; export default function Home() { const script = "...Hello"; const html = { __html: DOMPurify.sanitize(script) }; return ( ); } ↓ 11

参考資料 https://zenn.dev/yuuhu04/books/xss-anti-pattern-of-react- and-vue 最初に読んだ https://pragmaticwebsecurity.com/articles/spasecurity/react -xss-part1.html part3 まである 網羅的 12

Thank you 13