質問するログイン新規登録

質問編集履歴

2

2018/03/27 09:56

投稿

jimyo
jimyo

スコア243

title CHANGED
File without changes
body CHANGED
@@ -40,4 +40,9 @@
40
40
 
41
41
  回答でいただいたコードスプリッティングなどで対応はできそうですが、こんな些細なものごとにいちいち分割しているとは思えません。
42
42
 
43
+ [追記2]
44
+ もちろんこれはSPAに限らずJavascript自体のリスクではあると思いますが、
45
+ サーバーサイドレンダリングの場合、JSは「見た目の操作」にのみ使われてることが多いと思います。
46
+ SPAではややロジックも担当している印象を受けたためこのような質問をしました。
47
+
43
48
  ユーザーからの挙動変更が可能なリスクがある中でどのような策がなされているのか、あるいはなすべきなのか 教えていただきたいです。

1

2018/03/27 09:56

投稿

jimyo
jimyo

スコア243

title CHANGED
File without changes
body CHANGED
@@ -18,4 +18,26 @@
18
18
 
19
19
  また、そうでなくても表示されないにしろ、HTML/JSに管理用メニューの名前、及びAPIのアクセス先が書いてあるため、API側で何かしらの認証処理をするという前提があったとしても、管理用メニューにどういうものがあるのかを見られてしまうのは脆弱性につながりかねません。
20
20
 
21
- このような点に関してどのような対処をするのが一般的なのでしょうか?
21
+ このような点に関してどのような対処をするのが一般的なのでしょうか?
22
+
23
+
24
+ [追記]
25
+ 皆さん、回答ありがとうございます!
26
+ 質問の仕方が悪く、自分の伝えたい本質を書くことができていませんでした。
27
+
28
+ 認証周りの話というよりはユーザー(ブラウザ)がコンポーネントに対する操作が可能ということに疑問を持っています。
29
+
30
+ コンソールからコンポーネントに渡すデータを変えればそのコンポーネントの挙動を変更することとが可能だと思います。
31
+
32
+ 例えば入力フォームを作る場合に特定の条件のユーザーにはフォームを表示しないといったケース、
33
+ 具体的にはアンケートでユーザーの会員情報で性別が女性の場合は化粧品についてのアンケートも追加で表示させるケースを考えたいと思います。
34
+
35
+ サーバーサイドレンダリングであればサーバー側でユーザーの性別を見て生成するHTMLを変更できます。
36
+
37
+ クライアントサイドレンダリングの場合は一旦全て送り、ユーザー側で非表示にさせるといった処理が考えられそうです。
38
+
39
+ ここでユーザーがコンソールから性別データをいじった場合、男性なのに化粧品のアンケートを表示させる、女性なのに化粧品のアンケートを表示させない のようなことが可能になってしまう気がします。
40
+
41
+ 回答でいただいたコードスプリッティングなどで対応はできそうですが、こんな些細なものごとにいちいち分割しているとは思えません。
42
+
43
+ ユーザーからの挙動変更が可能なリスクがある中でどのような策がなされているのか、あるいはなすべきなのか 教えていただきたいです。