Upgrade to Pro — share decks privately, control downloads, hide ads and more …

iframe sandboxでユーザー入力スクリプトを実行する

5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=47 syumai
September 15, 2021
Programming
6
5k

iframe sandboxでユーザー入力スクリプトを実行する

5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=128

syumai

September 15, 2021
Tweet

More Decks by syumai

See All by syumai
Go言語仕様輪読会の開催を通じた振り返り
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
1
150
What's new in Go 1.18?
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
4
1.4k
GoのProposalの追い方ガイド
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
1
240
GoのGenerics関連プロポーザル最新状況まとめと簡単な解説 (2021年8月版)
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
1
340
Introduction to dem
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
0
100
Open API + Railsでテストをいい感じにした話
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
1
65
Go + WebAssemblyを活用する / Using Go and WebAssembly
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
1
1.9k
Go + WASMで始めるWeb Frontend開発 / Web frontend development using Go and WebAssembly
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
2
700
vue-nativeのpluginを作った話
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
1
320

Other Decks in Programming

See All in Programming
httputil.ReverseProxy でもリトライがしたい
8ad12d1da761245e3cf713bc3c2904b2?s=48 toga4
0
130
Kotlin KSP - Intro
7589a5a8fec022e8af4e46525150a291?s=48 taehwandev
1
510
質とスピード(2022春版、質疑応答用資料付き) / Quality and Speed 2022 Spring Edition
9f3a83db74bee75a64b5e6ed106a775c?s=48 twada
PRO
30
19k
「新卒だけ」じゃない!学び直しを支えるミクシィの技術研修を紹介
B16717ef4b7aab0b253d933c3934f280?s=48 mixi_engineers
PRO
0
190
読みやすいコードを書こう
A7048be18b1c2e712e5b564b1adb1f7e?s=48 yutorin
0
440
マイクロサービスプラットフォーム向け負荷試験基盤の初期リリースを終えた話
893c693d99300dfa431ca4b8f283858f?s=48 yuyu_hf
PRO
1
300
コードの解析と言語習得の心得
72dae9d4524988d16990da682116fc8a?s=48 jinjin33333
0
130
Monadic Java
9eafc29df96e6aaf4a3eb4c0209086ae?s=48 mariofusco
4
270
Unity Localization で多言語対応実装しよう / xrdnk-yokohamaunity-lt10-20220513
270b0c7883545117a9a618dc7ca7cc83?s=48 xrdnk
0
170
Learning DDD輪読会#4 / Learning DDD Book Club #4
E10ba38646a905c8cd2c893c84d5c520?s=48 suzushin54
1
160
競プロへの誘 -いざな-
Efbc292fd2e2c4caa0ede1d1532804a9?s=48 u76ner
0
380
クリエイティブ系のウェブサイト制作で役立つCSS技法 / CSS for develop creative website
4b7124f2f5989173c8ce3b0934817a32?s=48 clockmaker
2
1.7k

Featured

See All Featured
GitHub's CSS Performance
64827b31aef81498662e8af4bd6d5157?s=48 jonrohan
1020
410k
Navigating Team Friction
245cee81a9c424266e5e401d844ea881?s=48 lara
175
11k
Statistics for Hackers
56c4053438af8e8b90d6f53cbb7573be?s=48 jakevdp
781
210k
Fashionably flexible responsive web design (full day workshop)
433acaea1012b25d97ae66da9b998dad?s=48 malarkey
396
62k
StorybookのUI Testing Handbookを読んだ
50fc0fdc2327ecbe7350645812de52e3?s=48 zakiyama
4
2k
The MySQL Ecosystem @ GitHub 2015
Be9caeb9d4ef9944d151af909063ed6e?s=48 samlambert
238
11k
Web Components: a chance to create the future
E190023b66e2b8aa73a842b106920c93?s=48 zenorocha
303
40k
Support Driven Design
1519587b1a0febb658c36c94f6272b0d?s=48 roundedbygravity
86
8.5k
Design by the Numbers
027d1ebf66cc039a0bd3b55eeadbe75d?s=48 sachag
271
17k
A better future with KSS
5f2da528927a2ec9ba4fec2069cbc958?s=48 kneath
225
15k
Fight the Zombie Pattern Library - RWD Summit 2016
9fa239b3154a0169d99ab7bf1422dd12?s=48 marcelosomers
226
15k
Three Pipe Problems
11c84dff30266b907714802088852677?s=48 jasonvnalue
89
8.6k

Transcript

  1. iframe sandboxでユーザー入力スクリプトを実行する syumai フロントエンドLT会 - vol.4 (2021/9/15)

  2. 自己紹介 syumai 普段はTypeScript (React / Next.js) やGoを書きつつ生活しています Twitter: @__syumai Website:

    https://syum.ai

  3. 本日のテーマ

  4. iframe sandboxでユーザー入力スクリプトを実行する

  5. 元々何がしたかったのか?

  6. ユーザーが入力したJavaScriptを安全に実行したかった

  7. 前提 提供するアプリケーション上で、ユーザーが、自身の書いたスクリプトを自身のページ 内で実行することを出来るようにしたい 不特定多数の人がスクリプトを実行するような使い方はしない

  8. 本発表における 安全 の定義とは?

  9. 本発表における 安全 の定義 アプリケーションの動作が破壊されないこと ユーザー入力スクリプトを実行することで、提供するアプリケーションのDOMが変 更されない アプリケーションの状態の変更が行われない => localStorage /

    sessionStorageなどの内容の書き換えが発生しない これが満たされないと、ユーザー入力スクリプトの内容によってアプリケーション全体をク ラッシュさせることが可能になる

  10. 実行したいスクリプトの例

  11. 実行したいスクリプトの例 加工前のObjectを保持する変数 const data = { a: 1, b: 2,

    c: 3 }; ユーザー入力スクリプト (Objectを加工する) { a: data.a * 2, c: data.c * 2 } 結果 (HTMLとして表示) key value a 2 c 6

  12. ユーザー入力スクリプト←ここをどう実行するかを考える { a: data.a, c: data.c * 2 }

  13. その上で、下記のような入力がアプリケーションを破壊しないようにする document.write("kaboom! "); // 画面上に `kaboom! ` だけが表示される window.localStorage.clear(); //

    localStorage 内の全データを消す

  14. 調べたこと 1. ユーザー入力スクリプトを実行する方法 2. ユーザー入力スクリプトの実行を安全に行う方法

  15. 1. ユーザー入力スクリプトを実行する方法

  16. 方法は2つ 1. eval 2. Function() constructor

  17. eval

  18. evalの使い方 式、または文 (および複数の文) を渡すと、それを評価して結果を返す const a = 2; const b

    = 3; eval("a * b"); // => 6 ( 式の評価) eval("a * b; a + b"); // => 5 ( 文の評価)

  19. evalの特徴 スコープを引き継ぐ evalが呼ばれた箇所のローカルスコープを引き継ぐ 危険: 本来使って欲しくない変数まで使えてしまう 低速: eval中で使われる変数名などをバイトコード中から探すため // 与えられたObject を

    `query` で変形する関数 function transformObject(obj, query) { const __SECRET_FUNCTION = () => console.log("kaboom! "); return eval(`(${query})`); } const data = { a: 2, b: 3 }; console.log( transformObject(data, "{ a: obj.a * 2, b: obj.b * 2 }") // => `{ a: 4, b: 6 }` ); console.log( transformObject(data, "__SECRET_FUNCTION()") // => `kaboom! ` );

  20. MDNより https://developer.mozilla.org/ja/docs/Web/JavaScript/Reference/Global_Objects/eval

  21. Function() constructor

  22. Function() の使い方 新たな関数を生成する 引数名の一覧と、関数のbodyを渡して使う const a = 2; const b

    = 3; const sum = new Function("x", "y", "return x + y;"); sum(a, b); // => 5 // `new` を書かなくても同様に使える const sum2 = Function("x", "y", "return x + y;");

  23. Function() の特徴 関数の生成に伴って、新たなスコープが切られる 本来使って欲しくない変数が使われることがない // 与えられたObject を `query` で変形する関数 function

    transformObject(obj, query) { const __SECRET_FUNCTION = () => console.log("kaboom! "); const transform = new Function("obj", `return (${query});`); return transform(obj); } const data = { a: 2, b: 3 }; console.log( transformObject(data, "{ a: obj.a * 2, b: obj.b * 2 }") // => `{ a: 4, b: 6 }` ); console.log( transformObject(data, "__SECRET_FUNCTION()") // => `Uncaught ReferenceError: __SECRET_FUNCTION is not defined` );

  24. ユーザー入力スクリプトへのstrict modeの適用 strict modeの適用も出来る // 与えられたObject を `query` で変形する関数 function

    transformObject(obj, query) { const __SECRET_FUNCTION = () => console.log("kaboom! "); const transform = new Function("obj", `"use strict"; return (${query});`); return transform(obj); } const data = { a: 2, b: 3 }; console.log( transformObject(data, "with({ x: 100 }) { x }") // => `Uncaught SyntaxError: Unexpected token 'with'` );

  25. (本発表の定義において) Function() は安全か?

  26. Function() は 安全 の定義を満たすか アプリケーションの動作が破壊されないこと ユーザー入力スクリプトを実行することで、提供するアプリケーションのDOMが変 更されない => 変更できる window

    Objectを参照可能なので、自由にDOMを追加したり、操作した りできる アプリケーションの状態の変更が行われない => 変更できる アプリケーションと同じページ上で動作するので、localStorage / sessionStorageなどを自由に書き換えできる => 満たしていない

  27. 2. ユーザー入力スクリプトの実行を安全に行う方法

  28. どうすれば安全にできるか?

  29. どうすれば安全にできるか? window Objectを参照可能なので、自由にDOMを追加したり、操作したりできる window Objectの危険なプロパティを参照できないようにすれば、DOMを操作で きなくなる アプリケーションと同じページ上で動作するので、localStorage / sessionStorageなど を自由に書き換えできる

    localStorage / sessionStorageなどを参照出来ない場所でscriptを実行すれば書き 換えられない

  30. これらを満たすには? => 別Originでscriptを実行すればOK!

  31. Same-origin policy

  32. Same-origin policyとは MDNより あるオリジンによって読み込まれた文書やスクリプトが、他のオリジンにあるリソース にアクセスできる方法を制限するものです。 https://developer.mozilla.org/ja/docs/Web/Security/Same-origin_policy

  33. Originとは eijiさんの記事より Origin は scheme (http とか https とか)、hostname、port の組み合わせを指す。 same-origin

    と言った場合、これらすべてが一致するものを示している same-site/cross-site, same-origin/cross-originをちゃんと理解する: https://zenn.dev/agektmr/articles/f8dcd345a88c97

  34. Same-origin policyによってアクセスが制限されるもの iframe、window.openなどによって得たwindow Objectのプロパティ (一部除く) Access-Control-Allow-Originヘッダが設定されていないリソースへのfetch / XHR など

  35. Same-origin policyによってアクセスが制限されるもの iframe、window.openなどによって得たWindow Objectのプロパティ (一部除く) 今回関心があるのはこちら

  36. Window Objectの参照とは? iframe, window.openなどで得られる 参照取得方法の例 経路 親 => 子 子

    => 親 iframe iframe.contentWindow window.parent window.open(url) open関数の返り値 window.opener <a ... target="_blank"> - window.opener

  37. Window Objectを経由したプロパティアクセス 同一Originの例 https://a.com/index.html に https://a.com/iframe.html を埋め込む https://a.com/index.html のHTML <iframe

    src="https://a.com/iframe.html"> </iframe> https://a.com/iframe.html のHTML <script> window.parent.document.write("kaboom! "); </script> => https://a.com/index.html を表示すると、 kaboom! と画面に表示される

  38. Window Objectを経由したプロパティアクセス 別Originの例 https://a.com/index.html に https://b.com/iframe.html を埋め込む https://a.com/index.html のHTML <iframe

    src="https://b.com/iframe.html"> </iframe> https://b.com/iframe.html のHTML <script> window.parent.document.write("kaboom! "); </script> => 例外が発生する。内容: DOMException: Blocked a frame with origin "https://b.com" from accessing a cross-origin frame.

  39. Cross originでのWindow Objectの挙動 ごく一部を除いて、基本全てのプロパティへのアクセスが禁じられる ユーザー入力スクリプトを実行することで、提供するアプリケーションのDOMが変 更されない と言う条件を満たすのに使えそう! localStorage / sessionStorageへのアクセスも禁じられる

    アプリケーションの状態の変更が行われない と言う条件を満たすのに使えそう!

  40. Same-origin policyを踏まえた実装方針 別OriginのWindow Objectを入手して、その中でscriptを実行すること に決定

  41. 実装

  42. やること 1. 別OriginのWindow Objectを入手する 2. 1 のWindowにユーザー入力スクリプトを渡して実行する 3. 実行結果を入手する

  43. 1. 別OriginのWindow Objectを入手する

  44. iframe sandboxを使う! iframeにsandbox属性を設定すると、iframeの機能を制限できる sandbox属性を使うと、iframe内は特殊なOrigin ( null ) として、常にSame-origin policyに失敗させられる 同一Originからiframeのコンテンツを配信しても安全に出来る

    <iframe src="xxx" sandbox></iframe> <!-- 全て不許可 --> <iframe src="xxx" sandbox="allow-scripts"></iframe> <!-- JavaScript の実行のみ許可 --> sandbox属性はホワイトリスト形式 デフォルトは全て不許可 実は、 allow-popups なども存在する 入力スクリプトによる window.alert などの実行をセットで防げる

  45. 危険! allow-same-origin allow-same-origin を指定すると、通常の Same-origin policy が適用され、同一 Originだった場合 iframe内から親WindowのDOM操作などが可能になる そもそもsandbox属性の内容も書き換えられるし、何でも出来ちゃう

    今回の用途では絶対にNG <iframe src="xxx" sandbox="allow-scripts allow-same-origin"></iframe> <!-- 要注意! -->

  46. 実装 execScript関数を作る その中でiframeを生成する形にする function execScript(script) { const iframe = document.createElement("iframe");

    iframe.sandbox = "allow-scripts"; iframe.contentWindow // 別Origin のWindow Object が入手できた! ... }

  47. 2. 1 のWindowにユーザー入力スクリプトを渡して実行 する

  48. WindowのpostMessageを使う! Cross originではWindow Objectのプロパティアクセスが基本的に不可能 postMessage(message, targetOrigin) を使ったmessageの送受信は可能 iframeの例 親Window (https://a.com)

    const iframe = ... // https://b.com を埋め込んだiframe を取得する iframe.contentWindow.postMessage({ message: "hello!" }, "https://b.com"); 子Window (https://b.com) window.addEventListener("message", (event) => { console.log(event.data); // `{ message: "hello!" }` })

  49. postMessageの注意点 受信側が、どこからmessageを受け取るか選べない message イベントハンドラが複数Window Objectからの受信に対して共通になる origin / sourceのチェックは必須 window.addEventListener("message", (event)

    => { // https://a.com から受け付けたmessage しか処理しない! if (event.origin !== "https://a.com") { return; } // iframe の親Window から受け付けたmessage しか処理しない! if (event.source !== window.parent) { return; } ... });

  50. 実装 function execScript(script) { ... iframe.srcdoc = ` <script> window.addEventListener("message",

    (event) => { if (event.origin !== "${window.location.origin}") { return; } if (event.source !== window.parent) { return; } // 受け取ったscript の実行 const fn = new Function(event.data.script); // 結果を返す window.parent.postMessage({ result: fn() }, "${window.location.origin}") }); </script> `; // ユーザー入力スクリプトをiframe に送信する // `*` を指定するのは、`null` origin にmessage を送るため iframe.postMessage({ script }, "*"); ... } ※ ) 本当はiframeがmessageを受信出来る状態になるまで待つ必要がありますが、ここでは省略します

  51. 3. 実行結果を入手する

  52. 実装 2 で結果を返すところまで実装したので、あとはそれを受け取るだけ function execScript(script) { ... window.addEventListener("message", (event) =>

    { // `null` origin からの受信になる。ここのチェックは一旦skip // if (event.origin !== "null") { // return; // } if (event.source !== iframe.contentWindow) { return; } console.log(event.data); // 結果が入手できた! }); }

  53. 実装の工夫

  54. Promiseを使う どうしても非同期になってしまうので、Promiseで結果を取得できるようにする function execScript(script) { ... return new Promise(resolve =>

    { window.addEventListener("message", (event) => { if (event.source !== iframe.contentWindow) { return; } resolve(event.data); }); } }

  55. 引数を指定できるようにする // args Object を受け付ける function execScript(script, args) { ...

    iframe.srcdoc = ` <script> window.addEventListener("message", (event) => { ... const { script, args } = event.data; // args Object をkey とvalue の配列に分解する const keys = Object.keys(args); const values = Object.values(args); // args をFunction constructor に渡す const fn = new Function(...keys, script)(...values); window.parent.postMessage({ result: fn() }, "${window.location.origin}") }); </script> `; iframe.postMessage({ script, args }, "*"); ... }

  56. 完成! const a = 2; const b = 3; await

    execScript("a * b", { a, b }); // 6

  57. デモはこちら https://github.com/syumai/sandboxed-eval

  58. まとめ ユーザー入力スクリプトの安全な実行には別OriginのWindowが使える 別OriginのWindowは、iframe sandboxで簡単に使える Window Object間のmessage 送受信にはpostMessageが使える

  60. 補足

  61. postMessageの機能についての補足 もし、postMessageを使って関数の送信が可能であれば、悪意を持った関数を親 Windowに送って実行させることが出来ると考えられる これは可能か? => 不可能! postMessageによって送られるObjectは 構造化複製アルゴリズム によって複製さ れる

    WebWorker / IndexedDBとの値のやり取り等に使われるアルゴリズムと同じ このアルゴリズムでは、 関数は複製不可能なので送信時にエラーとなる。 詳細はこちら: https://developer.mozilla.org/ja/docs/Web/API/Web_Workers_API/Structured_clo ne_algorithm

  62. sandbox化されたiframeで実行出来るスクリプトについての補足 fetch / XHRは実行出来るか? => 出来ます。 Originが null になるだけで、外部にリクエストは普通に送ることが出来る。 今回のようなユースケースでなければ、場合によっては都合が悪い可能性があ

    る トラフィックの多いページにこのスクリプト実行機構を設置すると、意図せず 外部サイトへの大量リクエストが飛ぶ可能性があるので要注意

  63. sandbox化されたiframeで実行出来るスクリプトについての補足 iframeのメッセージ受信機構を破壊できるか? => 出来ます。 window.locationが書き込み可能なので、iframeに表示中のページを遷移するこ とが出来ます。 もし、遷移先に message handlerが設定されていた場合、親Windowから送信 したメッセージを対象のWindowから読まれる可能性がある点に注意です。

    今回のユースケースでは、スクリプトの実行者はスクリプトを作成した本 人となるため許容出来ます。 メッセージ受信機構が破壊されても機能を完全に停止させないようにするため には、(今回の実装のように、)iframeを関数呼び出しの度に生成するのがよい のではないかと考えています。