blog.euxn.me

ReactのdangerouslySetInnerHTMLを安全に使うために

2020-06-20 Sat.

後日追記

rehype-react 等の rehype エコシステムを使うことでより詳細に安全に制御可能です。

React に素の HTML (string)を挿入する場合は dangerouslySetInnerHTML を使用する必要があるのですが、 dangerouslySetInnerHTML はその名の通り危険な操作であるため、注意が必要です。

特にユーザ入力に基づき DOM を生成するテンプレートを自作している場合は、想定外の DOM 生成にも気をつける必要があります。(これは通常のテンプレートエンジンと同様) なお、 innerHTML と同様の仕様に基づき、 script タグは無効化されます。が、 style タグは有効であるため、注意が必要です。

以下のサンプルコードではボタンのイベントハンドラに任意の JavaScript を仕込むことができます。 (ファイル構成はサンプルの完成系である https://github.com/euxn23/dangerously-set-inner-html-demo を参照のこと)

1const App = () => {
2  const htmltext = `
3    <html>
4    <script>
5      // innerHTML の仕様により起動しない
6      alert('attack from script tag');
7    </script>
8    <body>
9      <div>
10        <button onClick="alert('attack from event handler')">Click Me</button>
11      </div>
12    </body>
13    
14    </html>`;
15
16  return <div dangerouslySetInnerHTML={{ __html: htmltext }}></div>;
17};

これらを機械的に行うために、 sanitize-html と jsdom を試します。

1. sanitize-html によるサニタイズ

sanitize-html の場合、デフォルトで多くの tag が disallow になっており、タグそのものが削除されるため、事前に判明している場合は allow を指定、そうでない場合は allowTags = false を指定し、 attribute の制限を行うことで sanitize します。 なお disallowedTagsMode: '``escape``' を指定すると <>がエスケープされ、 HTML のテキストがそのまま出力されます。デフォルトの挙動は disallowedTagsMode: '``discard``' です。

冒頭の通り、 style タグは innerHTML でも有効であり、 React アプリ外にも、グローバルで有効となるため、特に注意が必要です。フォーム等、一部を隠されたりスタイルを変更されると問題となるケース(フォームとユーザ入力 HTML のレンダリングが同居するケースはないとは思いますが)等もあるため、有効化する場合は慎重に行ってください。css injection という攻撃手法もあります。

style を当てる必要がない等、 class を含め全ての attributes が必要ない plain な HTML で良い場合は上記の方法が最適です。必要な場合は(tag ごとにですが) allowedAttributes に指定することで解決できます。 その他、 class 名での制限や inline style の制限もできます。監視されている class 名の指定を防ぐことにより GA への誤情報の送信を防いだり、 submit 誘導等を防ぐこともできます。 また、style attributes を有効にする場合は、 style によるクリック誘導による攻撃等を防ぐためにも、慎重に制限しないといけません。

以下がサンプルコードです。index.html に class=``"``red``" を指定すると、そちらに波及していることが確認できます。

1const App = () => {
2  const htmltext = `
3    <html>
4    <style>
5      .red {
6        background: red;
7      }
8    </style>
9    <body>
10      <div>
11        <button class="red" onClick="alert('attack from event handler')">Click Me</button>
12      </div>
13    </body>
14    
15    </html>`;
16
17  const __html = sanitize(htmltext, {
18    allowedTags: false,
19    allowedAttributes: { button: ["class"] },
20  });
21
22  return <div dangerouslySetInnerHTML={{ __html }}></div>;
23};

2. jsdom によるサニタイズ

jsdom では text をメモリ上で HTML として解釈し、 DOM 操作を行うことができます。 この HTML をして解釈 される時点で <script> タグは本来解釈されるのですが、 JSDOM のデフォルトでは実行されないようになっています。実行する必要がある場合は、 runSctipts: '``dangeriously``' のオプションを有効化することで実行できます。 以下は攻撃の例です。

1const App = () => {
2  const htmltext = `
3    <html>
4    <script>
5      console.log('attack from jsdom')
6    </script>
7    <style>
8      .red {
9        background: red;
10      }
11    </style>
12    <body>
13      <div>
14        <button class="red" onClick="alert('attack from event handler')">Click Me</button>
15      </div>
16    </body>
17    </html>`;
18
19  const { window } = new JSDOM(htmltext, { runScripts: 'dangeriously' });
20  const __html = `
21    // <html> is possibly null
22    ${window.document.querySelector('html')!.innerHTML}
23    `
24  return <div dangerouslySetInnerHTML={{ __html }}></div>;
25};

上記の例では <html> 全部を取得していますが、<body> だけにする、 <style> も含む、など様々な工夫が容易に行えます。 しかしこのままでは runScripts の指定がない場合でも DOM 内に定義されたイベントハンドラ関数は実行されてしまうため、イベントハンドラを持つ DOM から attributes を削除する必要があります。

1const App = () => {
2  const htmltext = `
3    <html>
4    <script>
5      console.log('attack from jsdom')
6    </script>
7    <style>
8      .red {
9        background: red;
10      }
11    </style>
12    <body>
13      <div>
14        <button class="red" onClick="alert('attack from event handler')">Click Me</button>
15      </div>
16    </body>
17    </html>`;
18
19  const { window } = new JSDOM(htmltext);
20  window.document.body
21    .querySelectorAll('[onClick]:not([onClick=""])')
22    .forEach((el) => el.removeAttribute("onClick"));
23  const __html = `
24    <body>
25    <style>
26    ${Array.from(window.document.querySelectorAll("style")).map(
27      (styleTag) => styleTag.innerHTML
28    )}
29    </style>
30    ${window.document.body.innerHTML}
31    </body>
32    `;
33
34  return <div dangerouslySetInnerHTML={{ __html }}></div>;
35};

比較

sanitize-html はデフォルトで全禁止側に倒しており、必要なものだけ通す allow list 方式を取っています。 対して jdsom は script タグを除き DOM をそのまま通すようになっています。 jsdom は deny list のような機構は持っていませんが、 querySelector 等を使用して deny 対象の DOM のみをサニタイズすることができます。

ほとんどの attribute を deny する場合、 sanitize-html を使用するのがシンプル、かつ安全になります。 一方 allow と deny のルールが複雑な場合は、 jsdom が向いているように見えます。

一概にどちらが優れている、というのはないため、必要に応じて検討する必要がありそうです。

補足

ShadowDOM でも JS の無効化をできるように思うかもしれませんが、 script タグの実行を防ぐのみで、ハンドラーは実行されてしまうため、このケースでは使用できません。

Other Works
2024-03-17 Sun.
neverthrow で局所的に Result 型を使い、 try-catch より安全に記述する
- Zenn
2023-05-26 Fri.
Next.js で dynamic import を使い Client だけで動かす Component を実現する
- Zenn
2023-05-02 Tue.
Node.js でファイル名から拡張子を取り除く/取り出すために path.parse を使う
- Zenn
2023-02-27 Mon.
WSL2 で外部からアクセス可能にするために bridge mode を有効にする
- Zenn
2023-12-20 Wed.
レガシーブラウザ向けのビルドオプションを剪定する
- ドワンゴ教育サービス開発者ブログ
2023-01-26 Thu.
init.vim & dein から init.lua & lazy.nvim へ、シンプル設定で移行した
- Zenn
2023-01-13 Fri.
kindle の本をブクログ形式の csv でエクスポートする@2023初春
- Zenn
2023-01-10 Tue.
自宅サーバの移設に際して docker から nerdctl に移行した
- Zenn
2023-01-10 Tue.
自宅サーバを rootless に移行した際のトラブル対応
- Zenn
2021-11-11 Thu.
並列実行した Promise で throw されても全てハンドルしたいときの方法(allSettled, finally, etc...)
- Zenn
©2024 SUZUKI Yuta. designed by ENDO Nao.