Q&A
どこ情報?
以下1番目のようなコードがあり、悪意のあるユーザーが入力するユーザ名などにスクリプトなどが埋め込まれていた場合、ブラウザは何の疑いもなくそのスクリプトを実行してしまうので
セキュリティ上問題なのは、よくわかるのですが
2番目のコードについてはボタンをクリックして要素の再構築をしている部分で悪意があるユーザーがtext-msg.innerHTMLの部分にscriptを入れてしまうので、サニタイズが必要になると授業で習ったのですがいまいちよくわかりません。
どうやってユーザー入力もない部分のtext-msg.innerHTML = "タグの中身を変更しました!"という内部コードをいじれるのでしょうか?
javascript
1 2 3const { username, password } = await api.getUser(); 4const userInfo = document.createElement('div'); 5userInfo.innerHTML = `${username}, ${password}`; 6
html
1 2<div id="text-msg"> 変更前</div> 3<input type="button" value="Click" onclick="myfunc()"> 4 5 <script> 6 const myfunc = function(){ 7 8 const text_msg = document.getElementById("text-msg"); 9 text_msg.innerHTML = "タグの中身を変更しました!"; 10 11 } 12 </script> 13 14
api.getUser() はどういうふるまいをするのですか?
デベロッパーツールで調べてみては。
変数名にハイフンは使えないので2番目はそもそも動かないのでは。
すみません、_になってませんでした
回答2件
0
ベストアンサー
サニタイズが必要になると授業で習ったのですがいまいちよくわかりません。
2つ目の例は固定文字列を代入しているので何の危険もありません。文字列が < や & を含んでないことも明らかなのでサニタイズも必要ありません。授業の講師が言ったことを間違って解釈しているか、講師が間違ったことを言っています。
参考までに、innerHTML で挿入した <script> は実行されません。イベントハンドラ属性やjavascript: URLなどでコードを実行することはできるのでやはり注意は必要ですが。
投稿2021/03/01 02:03
総合スコア21679
ご回答ありがとうございます!
そうですよねぇ....HTML5 では innerHTML で挿入された <script> タグは実行されないですよね...
ただ
const image = "<img src='x' onerror='alert(1)'>";
el.innerHTML = image;
は実行されるからとごまかされました...
0
そもそも論ですが、後者のコードは文法的に成立しません。
javascript
1// マイナスでトークンが切れて引き算になるけど、ここで引き算を入れるのはおかしいので文法エラー 2const text-msg
投稿2021/02/27 03:51
総合スコア145963
あなたの回答
tips
プレビュー
