所謂、最近流行っているJavaScriptフレームワークでのXSSの例をいくつか挙げようと思う。 最近のJavaScriptフレームワークは賢いので、データをバインドする際にHTMLエスケープしてくれてXSSから保護してくれる。 しかしながら、保護が適用されないケースもあるため、過度にフレームワークに信頼しているとXSSを作り込んでしまう。 ここではReactとVue.jsでその例をいくつか挙げようと思う。 あくまで「やってしまうかもしれない例」というだけで、ReactやVue.jsの固有の問題というわけではないです。 React javascript:スキーム aタグのhref属性にjavascript:やdata:text/htmlなどの任意のスキームをユーザーが設定できる場合、XSSが生じる。 これはReactに限った話ではなく、古くからある手法だが、未だにたまに見る。 import