Upgrade to Pro — share decks privately, control downloads, hide ads and more …

iframe sandboxでユーザー入力スクリプトを実行する

5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=47 syumai
September 15, 2021
Programming
6
860

iframe sandboxでユーザー入力スクリプトを実行する

5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=128

syumai

September 15, 2021
Tweet

More Decks by syumai

See All by syumai
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
0
150
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
0
100
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
1
54
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
1
1.8k
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
2
590
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
1
310
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
6
5.2k
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
0
81

Other Decks in Programming

See All in Programming
F6baf93a0833a98bdc8184c214f4c468?s=48 rgoswami
0
130
3bf6da1f63cd8b7a2f802f95c269ed80?s=48 fromatom
0
380
51dec3feb906404b8564a3c31d1050f3?s=48 cyriux
2
150
Ff0453fcbf27a84de92b9cc1f2aed9af?s=48 koike91
1
490
F301c0275838d562c72ea9177e7ddc68?s=48 fkino
1
170
1ac022a81a17900b312d8f7b03d2b4db?s=48 yuukis
0
260
2e72046813bf3dc01173fe54919a6d1d?s=48 cc4966
3
280
F6baf93a0833a98bdc8184c214f4c468?s=48 rgoswami
0
130
20c5ddcad23304aed77ce8c3aa020562?s=48 tkmru
0
900
82d6167c4d14393c2e20b37a74b363c5?s=48 kasacchiful
0
250
75f5fb3ddda052e46f1daed314ae69ab?s=48 beberlei
0
180
351bca0f01c8cb553535791140636368?s=48 sidepelican
3
220

Featured

See All Featured
20bfe76b3d6105641f879fe45cfc9272?s=48 bkeepers
PRO
414
58k
15f2b8221f247985a27a627d2ece72f0?s=48 pauljervisheath
195
16k
C0b42577cfc2b321be3474618107e933?s=48 samanthasiow
61
6.7k
C157b16234f1e75e8eac3698c1d4414a?s=48 ddemaree
273
32k
3ab1249be442027903e1180025340b3f?s=48 reverentgeek
171
7.7k
E837d2996f52008ace055a08fbfff992?s=48 frogandcode
129
20k
Ded01cdab114abe4ec13511e4c25b9bb?s=48 andyhume
67
4.4k
B83d5b590577969ee79a5ad845411a7d?s=48 ammeep
660
55k
A16eb159db895e3b01d3dc95767ad595?s=48 jonyablonski
38
1.7k
95d9f37115fbb0d13135d0f77132f856?s=48 morganepeng
30
1.7k
C0390e8b11079f8761c0cd3274ed61cb?s=48 productmarketing
11
1.1k
282d599b414022eba5096510f675b6e2?s=48 chrislema
174
14k

Transcript

  1. iframe sandboxでユーザー入力スクリプトを実行する syumai フロントエンドLT会 - vol.4 (2021/9/15)

  2. 自己紹介 syumai 普段はTypeScript (React / Next.js) やGoを書きつつ生活しています Twitter: @__syumai Website:

    https://syum.ai

  3. 本日のテーマ

  4. iframe sandboxでユーザー入力スクリプトを実行する

  5. 元々何がしたかったのか?

  6. ユーザーが入力したJavaScriptを安全に実行したかった

  7. 前提 提供するアプリケーション上で、ユーザーが、自身の書いたスクリプトを自身のページ 内で実行することを出来るようにしたい 不特定多数の人がスクリプトを実行するような使い方はしない

  8. 本発表における 安全 の定義とは?

  9. 本発表における 安全 の定義 アプリケーションの動作が破壊されないこと ユーザー入力スクリプトを実行することで、提供するアプリケーションのDOMが変 更されない アプリケーションの状態の変更が行われない => localStorage /

    sessionStorageなどの内容の書き換えが発生しない これが満たされないと、ユーザー入力スクリプトの内容によってアプリケーション全体をク ラッシュさせることが可能になる

  10. 実行したいスクリプトの例

  11. 実行したいスクリプトの例 加工前のObjectを保持する変数 const data = { a: 1, b: 2,

    c: 3 }; ユーザー入力スクリプト (Objectを加工する) { a: data.a * 2, c: data.c * 2 } 結果 (HTMLとして表示) key value a 2 c 6

  12. ユーザー入力スクリプト←ここをどう実行するかを考える { a: data.a, c: data.c * 2 }

  13. その上で、下記のような入力がアプリケーションを破壊しないようにする document.write("kaboom! "); // 画面上に `kaboom! ` だけが表示される window.localStorage.clear(); //

    localStorage 内の全データを消す

  14. 調べたこと 1. ユーザー入力スクリプトを実行する方法 2. ユーザー入力スクリプトの実行を安全に行う方法

  15. 1. ユーザー入力スクリプトを実行する方法

  16. 方法は2つ 1. eval 2. Function() constructor

  17. eval

  18. evalの使い方 式、または文 (および複数の文) を渡すと、それを評価して結果を返す const a = 2; const b

    = 3; eval("a * b"); // => 6 ( 式の評価) eval("a * b; a + b"); // => 5 ( 文の評価)

  19. evalの特徴 スコープを引き継ぐ evalが呼ばれた箇所のローカルスコープを引き継ぐ 危険: 本来使って欲しくない変数まで使えてしまう 低速: eval中で使われる変数名などをバイトコード中から探すため // 与えられたObject を

    `query` で変形する関数 function transformObject(obj, query) { const __SECRET_FUNCTION = () => console.log("kaboom! "); return eval(`(${query})`); } const data = { a: 2, b: 3 }; console.log( transformObject(data, "{ a: obj.a * 2, b: obj.b * 2 }") // => `{ a: 4, b: 6 }` ); console.log( transformObject(data, "__SECRET_FUNCTION()") // => `kaboom! ` );

  20. MDNより https://developer.mozilla.org/ja/docs/Web/JavaScript/Reference/Global_Objects/eval

  21. Function() constructor

  22. Function() の使い方 新たな関数を生成する 引数名の一覧と、関数のbodyを渡して使う const a = 2; const b

    = 3; const sum = new Function("x", "y", "return x + y;"); sum(a, b); // => 5 // `new` を書かなくても同様に使える const sum2 = Function("x", "y", "return x + y;");

  23. Function() の特徴 関数の生成に伴って、新たなスコープが切られる 本来使って欲しくない変数が使われることがない // 与えられたObject を `query` で変形する関数 function

    transformObject(obj, query) { const __SECRET_FUNCTION = () => console.log("kaboom! "); const transform = new Function("obj", `return (${query});`); return transform(obj); } const data = { a: 2, b: 3 }; console.log( transformObject(data, "{ a: obj.a * 2, b: obj.b * 2 }") // => `{ a: 4, b: 6 }` ); console.log( transformObject(data, "__SECRET_FUNCTION()") // => `Uncaught ReferenceError: __SECRET_FUNCTION is not defined` );

  24. ユーザー入力スクリプトへのstrict modeの適用 strict modeの適用も出来る // 与えられたObject を `query` で変形する関数 function

    transformObject(obj, query) { const __SECRET_FUNCTION = () => console.log("kaboom! "); const transform = new Function("obj", `"use strict"; return (${query});`); return transform(obj); } const data = { a: 2, b: 3 }; console.log( transformObject(data, "with({ x: 100 }) { x }") // => `Uncaught SyntaxError: Unexpected token 'with'` );

  25. (本発表の定義において) Function() は安全か?

  26. Function() は 安全 の定義を満たすか アプリケーションの動作が破壊されないこと ユーザー入力スクリプトを実行することで、提供するアプリケーションのDOMが変 更されない => 変更できる window

    Objectを参照可能なので、自由にDOMを追加したり、操作した りできる アプリケーションの状態の変更が行われない => 変更できる アプリケーションと同じページ上で動作するので、localStorage / sessionStorageなどを自由に書き換えできる => 満たしていない

  27. 2. ユーザー入力スクリプトの実行を安全に行う方法

  28. どうすれば安全にできるか?

  29. どうすれば安全にできるか? window Objectを参照可能なので、自由にDOMを追加したり、操作したりできる window Objectの危険なプロパティを参照できないようにすれば、DOMを操作で きなくなる アプリケーションと同じページ上で動作するので、localStorage / sessionStorageなど を自由に書き換えできる

    localStorage / sessionStorageなどを参照出来ない場所でscriptを実行すれば書き 換えられない

  30. これらを満たすには? => 別Originでscriptを実行すればOK!

  31. Same-origin policy

  32. Same-origin policyとは MDNより あるオリジンによって読み込まれた文書やスクリプトが、他のオリジンにあるリソース にアクセスできる方法を制限するものです。 https://developer.mozilla.org/ja/docs/Web/Security/Same-origin_policy

  33. Originとは eijiさんの記事より Origin は scheme (http とか https とか)、hostname、port の組み合わせを指す。 same-origin

    と言った場合、これらすべてが一致するものを示している same-site/cross-site, same-origin/cross-originをちゃんと理解する: https://zenn.dev/agektmr/articles/f8dcd345a88c97

  34. Same-origin policyによってアクセスが制限されるもの iframe、window.openなどによって得たwindow Objectのプロパティ (一部除く) Access-Control-Allow-Originヘッダが設定されていないリソースへのfetch / XHR など

  35. Same-origin policyによってアクセスが制限されるもの iframe、window.openなどによって得たWindow Objectのプロパティ (一部除く) 今回関心があるのはこちら

  36. Window Objectの参照とは? iframe, window.openなどで得られる 参照取得方法の例 経路 親 => 子 子

    => 親 iframe iframe.contentWindow window.parent window.open(url) open関数の返り値 window.opener <a ... target="_blank"> - window.opener

  37. Window Objectを経由したプロパティアクセス 同一Originの例 https://a.com/index.html に https://a.com/iframe.html を埋め込む https://a.com/index.html のHTML <iframe

    src="https://a.com/iframe.html"> </iframe> https://a.com/iframe.html のHTML <script> window.parent.document.write("kaboom! "); </script> => https://a.com/index.html を表示すると、 kaboom! と画面に表示される

  38. Window Objectを経由したプロパティアクセス 別Originの例 https://a.com/index.html に https://b.com/iframe.html を埋め込む https://a.com/index.html のHTML <iframe

    src="https://b.com/iframe.html"> </iframe> https://b.com/iframe.html のHTML <script> window.parent.document.write("kaboom! "); </script> => 例外が発生する。内容: DOMException: Blocked a frame with origin "https://b.com" from accessing a cross-origin frame.

  39. Cross originでのWindow Objectの挙動 ごく一部を除いて、基本全てのプロパティへのアクセスが禁じられる ユーザー入力スクリプトを実行することで、提供するアプリケーションのDOMが変 更されない と言う条件を満たすのに使えそう! localStorage / sessionStorageへのアクセスも禁じられる

    アプリケーションの状態の変更が行われない と言う条件を満たすのに使えそう!

  40. Same-origin policyを踏まえた実装方針 別OriginのWindow Objectを入手して、その中でscriptを実行すること に決定

  41. 実装

  42. やること 1. 別OriginのWindow Objectを入手する 2. 1 のWindowにユーザー入力スクリプトを渡して実行する 3. 実行結果を入手する

  43. 1. 別OriginのWindow Objectを入手する

  44. iframe sandboxを使う! iframeにsandbox属性を設定すると、iframeの機能を制限できる sandbox属性を使うと、iframe内は特殊なOrigin ( null ) として、常にSame-origin policyに失敗させられる 同一Originからiframeのコンテンツを配信しても安全に出来る

    <iframe src="xxx" sandbox></iframe> <!-- 全て不許可 --> <iframe src="xxx" sandbox="allow-scripts"></iframe> <!-- JavaScript の実行のみ許可 --> sandbox属性はホワイトリスト形式 デフォルトは全て不許可 実は、 allow-popups なども存在する 入力スクリプトによる window.alert などの実行をセットで防げる

  45. 危険! allow-same-origin allow-same-origin を指定すると、通常の Same-origin policy が適用され、同一 Originだった場合 iframe内から親WindowのDOM操作などが可能になる そもそもsandbox属性の内容も書き換えられるし、何でも出来ちゃう

    今回の用途では絶対にNG <iframe src="xxx" sandbox="allow-scripts allow-same-origin"></iframe> <!-- 要注意! -->

  46. 実装 execScript関数を作る その中でiframeを生成する形にする function execScript(script) { const iframe = document.createElement("iframe");

    iframe.sandbox = "allow-scripts"; iframe.contentWindow // 別Origin のWindow Object が入手できた! ... }

  47. 2. 1 のWindowにユーザー入力スクリプトを渡して実行 する

  48. WindowのpostMessageを使う! Cross originではWindow Objectのプロパティアクセスが基本的に不可能 postMessage(message, targetOrigin) を使ったmessageの送受信は可能 iframeの例 親Window (https://a.com)

    const iframe = ... // https://b.com を埋め込んだiframe を取得する iframe.contentWindow.postMessage({ message: "hello!" }, "https://b.com"); 子Window (https://b.com) window.addEventListener("message", (event) => { console.log(event.data); // `{ message: "hello!" }` })

  49. postMessageの注意点 受信側が、どこからmessageを受け取るか選べない message イベントハンドラが複数Window Objectからの受信に対して共通になる origin / sourceのチェックは必須 window.addEventListener("message", (event)

    => { // https://a.com から受け付けたmessage しか処理しない! if (event.origin !== "https://a.com") { return; } // iframe の親Window から受け付けたmessage しか処理しない! if (event.source !== window.parent) { return; } ... });

  50. 実装 function execScript(script) { ... iframe.srcdoc = ` <script> window.addEventListener("message",

    (event) => { if (event.origin !== "${window.location.origin}") { return; } if (event.source !== window.parent) { return; } // 受け取ったscript の実行 const fn = new Function(event.data.script); // 結果を返す window.parent.postMessage({ result: fn() }, "${window.location.origin}") }); </script> `; // ユーザー入力スクリプトをiframe に送信する // `*` を指定するのは、`null` origin にmessage を送るため iframe.postMessage({ script }, "*"); ... } ※ ) 本当はiframeがmessageを受信出来る状態になるまで待つ必要がありますが、ここでは省略します

  51. 3. 実行結果を入手する

  52. 実装 2 で結果を返すところまで実装したので、あとはそれを受け取るだけ function execScript(script) { ... window.addEventListener("message", (event) =>

    { // `null` origin からの受信になる。ここのチェックは一旦skip // if (event.origin !== "null") { // return; // } if (event.source !== iframe.contentWindow) { return; } console.log(event.data); // 結果が入手できた! }); }

  53. 実装の工夫

  54. Promiseを使う どうしても非同期になってしまうので、Promiseで結果を取得できるようにする function execScript(script) { ... return new Promise(resolve =>

    { window.addEventListener("message", (event) => { if (event.source !== iframe.contentWindow) { return; } resolve(event.data); }); } }

  55. 引数を指定できるようにする // args Object を受け付ける function execScript(script, args) { ...

    iframe.srcdoc = ` <script> window.addEventListener("message", (event) => { ... const { script, args } = event.data; // args Object をkey とvalue の配列に分解する const keys = Object.keys(args); const values = Object.values(args); // args をFunction constructor に渡す const fn = new Function(...keys, script)(...values); window.parent.postMessage({ result: fn() }, "${window.location.origin}") }); </script> `; iframe.postMessage({ script, args }, "*"); ... }

  56. 完成! const a = 2; const b = 3; await

    execScript("a * b", { a, b }); // 6

  57. デモはこちら https://github.com/syumai/sandboxed-eval

  58. まとめ ユーザー入力スクリプトの安全な実行には別OriginのWindowが使える 別OriginのWindowは、iframe sandboxで簡単に使える Window Object間のmessage 送受信にはpostMessageが使える

  60. 補足

  61. postMessageの機能についての補足 もし、postMessageを使って関数の送信が可能であれば、悪意を持った関数を親 Windowに送って実行させることが出来ると考えられる これは可能か? => 不可能! postMessageによって送られるObjectは 構造化複製アルゴリズム によって複製さ れる

    WebWorker / IndexedDBとの値のやり取り等に使われるアルゴリズムと同じ このアルゴリズムでは、 関数は複製不可能なので送信時にエラーとなる。 詳細はこちら: https://developer.mozilla.org/ja/docs/Web/API/Web_Workers_API/Structured_clo ne_algorithm

  62. sandbox化されたiframeで実行出来るスクリプトについての補足 fetch / XHRは実行出来るか? => 出来ます。 Originが null になるだけで、外部にリクエストは普通に送ることが出来る。 今回のようなユースケースでなければ、場合によっては都合が悪い可能性があ

    る トラフィックの多いページにこのスクリプト実行機構を設置すると、意図せず 外部サイトへの大量リクエストが飛ぶ可能性があるので要注意

  63. sandbox化されたiframeで実行出来るスクリプトについての補足 iframeのメッセージ受信機構を破壊できるか? => 出来ます。 window.locationが書き込み可能なので、iframeに表示中のページを遷移するこ とが出来ます。 もし、遷移先に message handlerが設定されていた場合、親Windowから送信 したメッセージを対象のWindowから読まれる可能性がある点に注意です。

    今回のユースケースでは、スクリプトの実行者はスクリプトを作成した本 人となるため許容出来ます。 メッセージ受信機構が破壊されても機能を完全に停止させないようにするため には、(今回の実装のように、)iframeを関数呼び出しの度に生成するのがよい のではないかと考えています。