jimyo score 234
2018/03/27 18:56 投稿
| SPA・クライアントサイドレンダリングはセキュリティ的に安全なのでしょうか? |
| 最近SPAについて勉強しています。 |
| SPAでは、クライアントサイドレンダリングが基本だと思います。 |
| Vue.js や React を用いてビュー部分をブラウザにわたし、サーバーサイドではAPIのみを提供しページの構築を行うと思います。 |
| 例えば、「管理者なら管理用メニュー、一般ユーザーなら普通のメニューを表示する」のようなロジックを例にすると、ビュー(ここでは Vue.js を使用すると仮定)では次のような実装が考えられると思います。 |
| ```html |
| <div v-if="userType === 'user'"> |
| <!-- 普通のメニュー --> |
| </div> |
| <div v-if="userType === 'admin'"> |
| <!-- 管理用メニュー --> |
| </div> |
| ``` |
| 善良なユーザーが使う分には問題無いと思いますが、悪意あるユーザーがコンソールで「userType = 'admin';」などと入力しただけで管理用メニューが表示されてしまいます。 |
| また、そうでなくても表示されないにしろ、HTML/JSに管理用メニューの名前、及びAPIのアクセス先が書いてあるため、API側で何かしらの認証処理をするという前提があったとしても、管理用メニューにどういうものがあるのかを見られてしまうのは脆弱性につながりかねません。 |
| このような点に関してどのような対処をするのが一般的なのでしょうか? |
| [追記] |
| 皆さん、回答ありがとうございます! |
| 質問の仕方が悪く、自分の伝えたい本質を書くことができていませんでした。 |
| 認証周りの話というよりはユーザー(ブラウザ)がコンポーネントに対する操作が可能ということに疑問を持っています。 |
| コンソールからコンポーネントに渡すデータを変えればそのコンポーネントの挙動を変更することとが可能だと思います。 |
| 例えば入力フォームを作る場合に特定の条件のユーザーにはフォームを表示しないといったケース、 |
| 具体的にはアンケートでユーザーの会員情報で性別が女性の場合は化粧品についてのアンケートも追加で表示させるケースを考えたいと思います。 |
| サーバーサイドレンダリングであればサーバー側でユーザーの性別を見て生成するHTMLを変更できます。 |
| クライアントサイドレンダリングの場合は一旦全て送り、ユーザー側で非表示にさせるといった処理が考えられそうです。 |
| ここでユーザーがコンソールから性別データをいじった場合、男性なのに化粧品のアンケートを表示させる、女性なのに化粧品のアンケートを表示させない のようなことが可能になってしまう気がします。 |
| 回答でいただいたコードスプリッティングなどで対応はできそうですが、こんな些細なものごとにいちいち分割しているとは思えません。 |
| [追記2] |
| もちろんこれはSPAに限らずJavascript自体のリスクではあると思いますが、 |
| サーバーサイドレンダリングの場合、JSは「見た目の操作」にのみ使われてることが多いと思います。 |
| SPAではややロジックも担当している印象を受けたためこのような質問をしました。 |
| ユーザーからの挙動変更が可能なリスクがある中でどのような策がなされているのか、あるいはなすべきなのか 教えていただきたいです。 |
jimyo score 234
2018/03/27 18:48 投稿
| SPA・クライアントサイドレンダリングはセキュリティ的に安全なのでしょうか? |
| 最近SPAについて勉強しています。 |
| SPAでは、クライアントサイドレンダリングが基本だと思います。 |
| Vue.js や React を用いてビュー部分をブラウザにわたし、サーバーサイドではAPIのみを提供しページの構築を行うと思います。 |
| 例えば、「管理者なら管理用メニュー、一般ユーザーなら普通のメニューを表示する」のようなロジックを例にすると、ビュー(ここでは Vue.js を使用すると仮定)では次のような実装が考えられると思います。 |
| ```html |
| <div v-if="userType === 'user'"> |
| <!-- 普通のメニュー --> |
| </div> |
| <div v-if="userType === 'admin'"> |
| <!-- 管理用メニュー --> |
| </div> |
| ``` |
| 善良なユーザーが使う分には問題無いと思いますが、悪意あるユーザーがコンソールで「userType = 'admin';」などと入力しただけで管理用メニューが表示されてしまいます。 |
| また、そうでなくても表示されないにしろ、HTML/JSに管理用メニューの名前、及びAPIのアクセス先が書いてあるため、API側で何かしらの認証処理をするという前提があったとしても、管理用メニューにどういうものがあるのかを見られてしまうのは脆弱性につながりかねません。 |
| このような点に関してどのような対処をするのが一般的なのでしょうか? |
| このような点に関してどのような対処をするのが一般的なのでしょうか? |
| [追記] |
| 皆さん、回答ありがとうございます! |
| 質問の仕方が悪く、自分の伝えたい本質を書くことができていませんでした。 |
| 認証周りの話というよりはユーザー(ブラウザ)がコンポーネントに対する操作が可能ということに疑問を持っています。 |
| コンソールからコンポーネントに渡すデータを変えればそのコンポーネントの挙動を変更することとが可能だと思います。 |
| 例えば入力フォームを作る場合に特定の条件のユーザーにはフォームを表示しないといったケース、 |
| 具体的にはアンケートでユーザーの会員情報で性別が女性の場合は化粧品についてのアンケートも追加で表示させるケースを考えたいと思います。 |
| サーバーサイドレンダリングであればサーバー側でユーザーの性別を見て生成するHTMLを変更できます。 |
| クライアントサイドレンダリングの場合は一旦全て送り、ユーザー側で非表示にさせるといった処理が考えられそうです。 |
| ここでユーザーがコンソールから性別データをいじった場合、男性なのに化粧品のアンケートを表示させる、女性なのに化粧品のアンケートを表示させない のようなことが可能になってしまう気がします。 |
| 回答でいただいたコードスプリッティングなどで対応はできそうですが、こんな些細なものごとにいちいち分割しているとは思えません。 |
| ユーザーからの挙動変更が可能なリスクがある中でどのような策がなされているのか、あるいはなすべきなのか 教えていただきたいです。 |
