Q&A
逆に質問ですが、vueを通してレンダリングしたくない理由はありますか?
サーバーサイド から送られてくるJSON(HTMLの記述)をそのままサイト内の一部にレンダリングしたいです。
サーバーサイド から送られるHTMLコードは、管理ページで管理者が記述しており、ユーザーやその他部外者が入力するものではありません。
VUEのセキュリティに関するページでは
HTML の挿入
前述の通り、Vue では HTML コンテンツを自動でエスケープ処理し、誤って実行可能な HTML をアプリケーション内に挿入することを防いでいます。
ただし、HTML が安全なことが事前にわかっている場合は明示的にそれをレンダリングすることが可能です:
との記載がありました。
https://jp.vuejs.org/v2/guide/security.html#HTML-%E3%81%AE%E6%8C%BF%E5%85%A5
安全なことがわかっている場合とは、前述した「HTMLコードは、管理ページで管理者が記述しており、ユーザーやその他部外者が入力するものではありません。」と言う部分で安全であると判断して問題ないでしょうか?なにを持ってして安全と判断できるでしょうか...?
例えば、サーバーサイド から送られるJSONには悪意の無いHTMLコードが描かれいているとして、
フロント側に届くまでに改竄されると言うことがあり得ますか?無いです...よね...?
管理下にあるバックエンドからのHTMLコードJSONをHTMLとしてそのままレンダリングすることが
セキュリティ的に、厳しめに判断して、問題があるかどうかお伺いをしたいです!
何卒よろしくお願いいたします。
投稿ありがとうございます!!
vueを通してレンダリングしたく無い理由は全くありません
ただvueを通してレンダリングするには、レンダリングするHTMLが「安全であると事前に分かっている」必要があると記されており、 「安全である」ってどのレベルでだろう?と思ったのが質問のきっかけでした。
> 「安全である」ってどのレベルでだろう?
どんな値が入っているか全て把握出来ていて確実に問題が無いと分かっている場合ですね。Yusuke_m25さん以外がデータを操作できる環境がある場合はその時点で100%安全とは言えませんね。
で、例えばテンプレートエンジンでも変数は勝手にエスケープされて出力されますけど、(安全だと確定済みで)手間が掛かるだとか、特にエスケープされるとテンプレート側で実施したい処理が出来ないなどの理由が無い限りはエスケープしたまま使います。
vueは分からないけど、上と同じ理由でエスケープしたくない強い理由が無ければ通常は生での出力はしません。
回答1件
0
ベストアンサー
安全なことがわかっている場合とは、前述した「HTMLコードは、管理ページで管理者が記述しており、ユーザーやその他部外者が入力するものではありません。」と言う部分で安全であると判断して問題ないでしょうか?
安全と判断して問題ありません。ただし、管理者の悪意は想定しないものとします。
例えば、サーバーサイド から送られるJSONには悪意の無いHTMLコードが描かれいているとして、フロント側に届くまでに改竄されると言うことがあり得ますか?無いです...よね...?
通信路での改竄のことを言っているのであれば、HTTPSにしておけば大丈夫ですし、そもそも通信路で改竄できる前提なら、アプリ側でどのような対策をしてもXSS相当の問題が生じるのでどうしようもありません。
投稿2021/03/21 12:10
総合スコア11705
あなたの回答
tips
プレビュー
