React and XSS

Transcript

1. ReactとXSS 2021/07/15 山田悠之介

2. XSS (Cross-site scripting) 悪意のあるスクリプトを閲覧者のブラウザで実行すること 反射型 XSS、格納型 XSS、DOM Based XSS などの種類があるが

   いずれも XSS するためには文字列として入力したスクリプトを 標的となるサイトで実行させなければならない 2

3. React React では XSS 対策として文字列はエスケープされる。 https://ja.reactjs.org/docs/jsx-in-depth.html#string-literals 3

4. 生成される HTML export default function Home() { const script =

   ` <script> while (1) { alert('!'); } </script>`; return <main>{script}</main>; } ↓ <main>&lt;script&gt; while (1) { alert(&#x27;!&#x27;); } &lt;/script&gt;</main> 4

5. innerHTML 標準の JS や jQuery で HTML を動的に生成するときには innerHTML を使っていた。

   React では... 5

6. dangerouslySetInnerHTML https://ja.reactjs.org/docs/dom- elements.html#dangerouslysetinnerhtml export default function Home() { const script

   = ... const html = { __html: script }; return ( <main> <div dangerouslySetInnerHTML={html} />; </main> ); } 6

7. href, src export default function Home() { const script =

   ` javascript: while (1) { alert('!'); }`; return ( <main> <a href={script}>link</a> </main> ); } 7

8. "javascript:"は deprecated https://reactjs.org/blog/2019/08/08/react- v16.9.0.html#deprecating-javascript-urls 将来的にはエラーにする 8

9. その他 DOM 要素の取得 (findDOMNode, createRef) からの innerHTML createElement SSR +

   Redux eval（React 関係ないけど） 9

10. 回避するには ユーザの入力を無害化する DOMPurify 10

11. import DOMPurify from "isomorphic-dompurify"; export default function Home() { const

    script = "<script>...</script>Hello"; const html = { __html: DOMPurify.sanitize(script) }; return ( <main> <div dangerouslySetInnerHTML={html} /> </main> ); } ↓ <main><div>Hello</div></main> 11

12. 参考資料 https://zenn.dev/yuuhu04/books/xss-anti-pattern-of-react- and-vue 最初に読んだ https://pragmaticwebsecurity.com/articles/spasecurity/react -xss-part1.html part3 まである 網羅的 12

13. Thank you 13