質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
Vue.js

Vue.jsは、Webアプリケーションのインターフェースを構築するためのオープンソースJavaScriptフレームワークです。

SPA(Single-page Application)

SPA(Single-page Application)は、単一のWebページのみでコンテンツの切り替えができるWebアプリケーションもしくはWebサイトです。ブラウザでのページ遷移がないため、デスクトップアプリケーションのようなUXを提供します。

Chrome

Google Chromeは携帯、テレビ、デスクトップなどの様々なプラットフォームで利用できるウェブブラウザです。Googleが開発したもので、Blink (レンダリングエンジン) とアプリケーションフレームワークを使用しています。

React.js

Reactは、アプリケーションのインターフェースを構築するためのオープンソースJavaScriptライブラリです。

Q&A

解決済

2回答

2960閲覧

chromeの開発者ツールからlocal storageに保存している情報などを見えなくすることは可能ですか?

Hayato1201

総合スコア231

Vue.js

Vue.jsは、Webアプリケーションのインターフェースを構築するためのオープンソースJavaScriptフレームワークです。

SPA(Single-page Application)

SPA(Single-page Application)は、単一のWebページのみでコンテンツの切り替えができるWebアプリケーションもしくはWebサイトです。ブラウザでのページ遷移がないため、デスクトップアプリケーションのようなUXを提供します。

Chrome

Google Chromeは携帯、テレビ、デスクトップなどの様々なプラットフォームで利用できるウェブブラウザです。Googleが開発したもので、Blink (レンダリングエンジン) とアプリケーションフレームワークを使用しています。

React.js

Reactは、アプリケーションのインターフェースを構築するためのオープンソースJavaScriptライブラリです。

0グッド

1クリップ

投稿2021/07/27 13:08

現在Vueでのアプリケーションを開発しており、local strageやsession storage も仕様していますが、それらはchrome の下記Applicationから確認できますよね?
イメージ説明

これってアプリ側の設定でlocal strageに保存している内容が見えない様することなどは可能なのでしょうか?
よくlocal strageにトークンなどを保存するとそれがXSSで抜かれてしまうという様な話が言われると思いますがXSSなどしなくてもそもそもchromeのApplicationから見えてしまうのでは色々とセキュリティ上問題になるのでは?と思うのですが、アプリ側の設定でこちらブラウザから確認できなくする方法などあるのでしょうか?
一般的に言われているトークン等の情報をlocal strageに保存するとXSSされたときにとられてしまうとはこの様に保存したトークンが見えてしまうと困るという話ではないのでしょうか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答2

0

ウェブアプリからブラウザの開発者ツールの挙動を制御することは不可能です。

見えてしまうのでは色々とセキュリティ上問題になるのでは?

なりません。
悪意のあるコードに機密情報を取得されるのが問題なのであって、ユーザから見えることは通常は問題にはなりません。もしユーザから見えることがセキュリティ問題になるとすると、それは開発者ツールで見えるかどうかに関係なくそのウェブアプリの設計の欠陥だと思います。

投稿2021/07/27 14:29

int32_t

総合スコア21695

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Hayato1201

2021/07/27 14:44

回答ありがとうございます!助かります。 となると良く言われているXSSでlocal strageが見られてしまうのでlocal strageにアクセストークンなどを保存してはならないというのはXSSで第三者が一般のユーザのアクセストークンを抜けてしまうという事ですか?? XSSの理解としてはフォームにjsを入力してそれを実行させるというものですが、なぜそれで関係のないユーザのlocal storageが覗けるのでしょうか?
int32_t

2021/07/27 23:50

> XSSで第三者が一般のユーザのアクセストークンを抜けてしまう XSSのセキュリティホールが存在すれば、そういうことになりますね。 > XSSの理解としてはフォームにjsを入力してそれを実行させるというものですが、なぜそれで そのへんはXSSの基本的な動作の話なので、ネットを探せばいくらでも解説は見つかるのでは。
guest

0

ベストアンサー

これってアプリ側の設定でlocal strageに保存している内容が見えない様することなどは可能なのでしょうか?

たとえ不可視化が可能だったとしても、localStorage.key()で抜くことが可能ですので、意味がないのでは。

Storage インターフェイスの key() メソッドは数値 n を渡すと、ストレージ内で n 番目のキーの名称を返します。

Storage.key() - Web API | MDN


そもそもchromeのApplicationから見えてしまうのでは色々とセキュリティ上問題になるのでは?と思うのですが

そもそも、JavaScriptで取得可能なので、開発者ツールで見えるか見えないかは特段の問題になりません。


よくlocal strageにトークンなどを保存するとそれがXSSで抜かれてしまうという様な話が言われる

int32_tさんがおっしゃるとおり、第三者のトークンが盗まれることが問題です。


__なぜそれで関係のないユーザのlocal storageが覗けるのでしょうか? __

簡単のためにすごく大雑把に書くと、前述の通り、第三者が任意のJavaScriptが実行できるなら、localStorage を全て取得することが可能です。そして、XSSとはクロスサイトスクリプティングの略であり、サイトを横断してスクリプトを実行できてしまう脆弱性です。

つまり、そもそもXSSが成立してしまう時点でJavaScriptでできることは自由にできてしまうのでおおむね詰んでいるのですが、localStorage にトークンがある場合は即座にセッションをジャックされる恐れがある、ということです。

では、Cookieはどうなのかというと、大雑把に言うと HttpOnly や SameSite=Lax で防御できるので、必ずセッショントークンを奪えるとは限らない、という感じです。
私も詳しくはないので、詳細はよく調べてみてください。

投稿2021/07/28 01:13

編集2021/07/28 01:17
Lhankor_Mhy

総合スコア36960

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問