Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Nuxt3のuseHeadを使ったらXSS脆弱性が顕在化した話

R.D.Sakamoto
February 17, 2023
Technology
0
2.1k

 Nuxt3のuseHeadを使ったらXSS脆弱性が顕在化した話

https://zenn.dev/skmt3p/articles/7c9028ea96f58c

R.D.Sakamoto

February 17, 2023
Tweet

More Decks by R.D.Sakamoto

See All by R.D.Sakamoto
バーチャルマーケット6からフロントエンドチームを作ってきたHIKKY社員によるバーチャルマーケットの Webフロントエンド裏話
skmt3p
0
14

Other Decks in Technology

See All in Technology
2024/4/26 コンピュータ歴史博物館解説告知
toshi_atsumi
0
190
少数チームで挑む: SwiftUI, TCA, KMPを用いた 新規動画配信アプリ 「ABEMA Live」の開発について
tomu28
0
500
【SORACOM UG】(2024年度版) SIMってなんだ? ~セルラー通信がつながる仕組み、解説します~
soracom
PRO
0
200
反実仮想機械学習とは何か
usaito
PRO
6
1.1k
コードを書く隙間を見つけて生きていく技術/Findy 思考の現在地
fujiwara3
23
4.7k
自動生成を活用した、運用保守コストを抑える Error/Alert/Runbook の一元集約管理 / Centralized management of Error/Alert/Runbook to minimize operational costs using automated code generation
biwashi
9
2k
NLP2024 参加報告LT ~RAGの生成評価と懇親戦略~ / nlp2024_attendee_presentation_LT_masuda
taro_masuda
1
190
SREとその組織類型
tatsuo48
8
1.4k
[2024年3月版] Databricksのシステムアーキテクチャ
databricksjapan
7
1.9k
Algyan イベント振り返り
linyixian
0
180
開発生産性向上サービスを作るFindyが自分たちで開発生産性を爆上げした組織づくりの歩み / Findy's path to boosting its own development productivity 2024-04-17
ma3tk
0
190
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
13
35k

Featured

See All Featured
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
75
41k
Building Flexible Design Systems
yeseniaperezcruz
318
37k
Docker and Python
trallard
33
2.7k
Done Done
chrislema
178
15k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
225
51k
Writing Fast Ruby
sferik
619
60k
Scaling GitHub
holman
457
140k
Designing the Hi-DPI Web
ddemaree
276
33k
No one is an island. Learnings from fostering a developers community.
thoeni
14
2.1k
Side Projects
sachag
451
41k
GraphQLの誤解/rethinking-graphql
sonatard
49
9.2k
What's new in Ruby 2.0
geeforr
336
31k

Transcript

  1. Nuxt3のuseHeadを使ったら XSS脆弱性が顕在化した話 2023/02/16 (Fri) Vue.js v-tokyo Meetup #16

  2. 自己紹介 ▪ R.D.Sakamoto(あーるでぃーさかもと ) ▪ アバターはゴリラの方です! ▪ EE法人OmusBridge OÜ CEO

    ▪ VR法人HIKKY Web Frontend Chief ▪ Nuxt3は自社でも所属企業でも使ってる ▪ 今年は外向けの活動がんばるおじさん ▪ [宣伝] MyVketとバーチャルマーケット

  3. ハンズオン

  4. 兎にも角にも、まずは試す! - Repl; - https://stackblitz.com/edit/nuxt-starter-nynkwv?file=README.md - useHead - Nuxt3 Composablesのひとつ。setupで使える。

    - headのtitle, description, meta, link, scriptなどを書き換えられる - vue-head、vue-meta - XSS(クロスサイトスクリプティング) = - Webサイトにおける脆弱性のひとつ。 - 任意のscriptを動かせる。自サービスで顕在化するととても怖い。

  5. ぴえん - Zenn - https://zenn.dev/skmt3p/articles/7c9028ea96f58c - ユーザーインプットを DBに登録できた前提で、そのインプットをとってきて Refに格納。 inputのデフォルトとして表示するケースを想定。

    - Nuxt3.0.0においてアラートが発出される - どうしたかはZenn参照 - 当該issues自体の進捗は、2/16 AM時点でほぼ無し - ユーザー入力文字をheadに入れる事自体はSSRのよくある話 - Twitterのようにuser nameをtitleとしてタブに表示させる。 - og:title, og:descriptionにユーザー情報を表示させる。

  6. ハンズオン(最新版!)

  7. Nuxt 3.2.0ではどうなっているのか? - 今回の登壇のために用意したRepl; - https://stackblitz.com/edit/nuxt-starter-nynkwv?file=README.md - さっきのやつをシンプルに Nuxt 3.2.0にしてみました!

    - issuesの方には進捗無いけど...頼むぞ!!! - https://github.com/vueuse/head/issues/173 - このissuesで似たような話はやりとりされているが ...

  8. やったか? - とりあえずinputが表示された!そう!これでいいんだよ!ありがとう Nuxt!! Thank you Nuxt!! - 一応、念のため、もっと愚直に書いてみよう Repl2;

    - https://stackblitz.com/edit/nuxt-starter-nynkwv?file=README.md - さっきの例の内側にもう 1個`window.alert`を仕込む - NuxtとかStackBlitz側のDOM構成が変わったかもしれないし。 - まあ大丈夫やと思うけど ...

  9. あ...... - 根本対応はまだできていない模様 - useHeadSafeがくるのが待ち遠しいですね - https://github.com/nuxt/nuxt/issues/15668 - 皆様も他人事とは思わずお気をつけください。 -

    headのDOM構成によって、再現条件がかわります - 再現するのすら結構面倒でした - これを読めば「ヨシ!」だと思っていませんか?ここには当然載ってないです - https://ja.vuejs.org/guide/best-practices/security.html - dependabotやsentryの導入などできることから - Nuxt Securityというmoduleもあるらしい - https://nuxt.com/modules/security/ - 最近Twitterでみたセキュリティ本を買いました。 - とても易しい...!こつこつと読み進めていきます!

  10. それでも!これから も!Nuxtを使い続けま す!! おしまい セキュリティに気をつけつつ...