はじめに 最近Vue.jsを頻繁に使用するのですが、他のSSR(サーバーサイドレンダリング)の仕組みと組み合わせる場合、容易にXSSを生み出してしまうケースが存在するので、注意喚起も兼ねて事例を紹介させていただきます。 9月7日 追記を追記しました 前提 サーバーサイドで動的に要素をレンダリングするシステムとVue.jsを組み合わせた場合 この記事はrailsのSSRとの組み合わせで解説しますが、プレーンなPHP等、動的にHTMLをレンダリングシステムとの組み合わせでも発生します。 サンプルコード まず、こちらのコードをご覧ください。 user.erb <div id="app"> <div class="user"> <%= @user.name %> </div> <button v-on:click="registerFavorite" data-user-id="<%= @user
![VueをSSRに乗せると容易にXSSを生み出す場合がある件について - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/080cd4e63f3e13862d37ee567fb58f6be2aaa2ea/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwYWxmYSZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9ZDJjZDI2YjcwNTU3OGZhZGE3MDZiZDExNDBmYjliNGE%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D8db1883df66da563433b411eab43d70f)