ユーザーが任意の入力したコードを試せるような仕様にしました
evalはなにかと危険だと言われてるよなので
blob形式にしました
下記コードで起こりうる危険性を教えてください
個人的にはブラウザのコンソールと変わらない気がするのですがこういうものは、実装しないほうがいいんでしょうか

<script>
function a(){
let blob = new Blob([txt.value], {type: 'text/html'});
link.href = URL.createObjectURL(blob);
link.click();
URL.revokeObjectURL(link.href);
}
</script>
<textarea id="txt"><script>window.onload=function a(){alert("");}</script></textarea>
<input type="button" value="" onclick="a()">
<a href='#' id="link"></a>

行動規範の内容に同意します

回答2件

ベストアンサー

　元ページのコンテキストにアクセスできるわけでもないと思いますので、特に危険はないように思います。

　条件をはっきりさせておきますと、元ページの実行コンテキストやDOMにアクセスできるわけではないので、evalやFunctionよりも安全であると思います。

　軽くテストしてみた感じ、FirefoxではCORSが働きますが、Chromeでは同一ドメインとみなすようです。また、cookieについてはFirefoxでは同一ドメインとみなしているようですが、Chromeでは取得ができませんでした。

　以上のことから、サンドボックス化したiframeよりはやや危険かもしれません。

　別ユーザーの入力をHTMLエスケープせずに使用すれば、yambejpさんのご回答の通り、XSSの危険性があります。ただ、私見ではありますが、別ユーザーの入力をHTMLエスケープせずに使用する想定であれば、ご質問のコードがなくてもXSSのリスクがありますから、このコード特有のセキュリティリスクではないと理解しています。

投稿2023/08/14 05:10

編集2023/08/15 00:56

Lhankor_Mhy

総合スコア36616

退会済みユーザー

2023/08/15 02:49

回答ありがとうございましたしかしながら腑に落ちないのは当該コードで実行できるものは誰しもが"コンソール"から実行できるのとは違うのですか？コンソールもはっきり言ってしまえばevalと同じだと思いますが、違いがあるのでしょうか？

退会済みユーザー

2023/08/15 02:55

何が言いたいかというと私の提示コードはコンソールと同じ役割をする＝私の提示したプログラムで同じことができるだけの話であり、コンソールを使おうが私の提示したプログラムを使おうが結果は同じになりませんかコンソール実行と私の提示コードの実行で違いが生まれるのであれば教えていただけませんでしょうかクリップ3もついてますのでそれなりに興味持たれているがいると思いますので。

退会済みユーザー

2023/08/15 03:01 編集

CORSレベルだとサーバーに負荷をかけるだの自鯖のように振る舞うことはできても、 blobウインドウ内から外部に直接指令でき脅威になりうる命令は、postmessageくらいではないんですか？

退会済みユーザー

2023/08/15 03:04 編集

＞サンドボックス化したiframe ウィンドウ内から外部の指令を出せるとした手法はpostmessageくらいですよね？サンドボックス化したiframeとありますがなんの制約をかける前提ですか？ scriptを禁止にしたらそもそもこの問題は成り立ちません

退会済みユーザー

2023/08/15 03:11 編集

そろそろockeg*emに出てきてほしい専門分野だろうし ockeg*emも「よくわからないが危険だろう」で頭が止まってたりするんやろか？

退会済みユーザー

2023/08/15 03:13

私はockeg*emを指名してるのでockeg*emの知り合いの方おられましたら、知らせていただけないですか

退会済みユーザー

2023/08/15 03:16

私は「とりあえずevalは使うな」という人間の言うことは聞きません

Lhankor_Mhy

2023/08/15 03:48 編集

> しかしながら腑に落ちないのは > 当該コードで実行できるものは誰しもが"コンソール"から実行できるのとは違うのですか？私もyambejpさんも、自身の書いたコードを実行する分には問題ないって回答してると思います。違いとしては、回答にも書きましたが、実行コンテキストやDOMに参照できる分だけ、コンソールの方がリスクが高いと思います。

行動規範の内容に同意します

クローズなサイトで任意のユーザーのみで運用する分には運用の問題なのでとくに気にする必要はありません。
オープンなサイトで不特定のユーザーを対象とする場合、ご自身で書かれたソースを改変し悪用する可能性もあるので特別な理由がない限りクライアントが記載した任意のソースを実行させることは避けたほうが無難です

参考

たとえばsetIntervalで特定のapiに対してfetchを大量に発行してくる可能性もあります
自サイトからの要求なのでCORSで除外されることもないでしょう
ユーザーに事由にjsを実行させるということはそういうことです

javascript
1<script>
2function a(){
3let blob = new Blob([txt.value], {type: 'text/html'});
4link.href = URL.createObjectURL(blob);
5link.click();
6URL.revokeObjectURL(link.href);
7}
8</script>
9<textarea id="txt"><script>setInterval(()=>{fetch('http://localhost/api.php').then(res=>res.text()).then(console.log)},100)</script></textarea>
10<input type="button" value="" onclick="a()">
11<a href='#' id="link"></a>