VueをSSRに乗せると容易にXSSを生み出す場合がある件について - Qiita

はじめに 最近Vue.jsを頻繁に使用するのですが、他のSSR(サーバーサイドレンダリング)の仕組みと組み合わせる場合、容易にXSSを生み出してしまうケースが存在するので、注意喚起も兼ねて事例を紹介させていただきます。 9月7日 追記を追記しました 前提 サーバーサイドで動的に要素をレンダリングするシステムとVue.jsを組み合わせた場合 この記事はrailsのSSRとの組み合わせで解説しますが、プレーンなPHP等、動的にHTMLをレンダリングシステムとの組み合わせでも発生します。 サンプルコード まず、こちらのコードをご覧ください。 user.erb <div id="app"> <div class="user"> <%= @user.name %> </div> <button v-on:click="registerFavorite" data-user-id="<%= @user

[k2wanko]

PHPじゃないんだから...。Vue.jsに機能を付けるよりdata attributeにHTMLエスケープした値を使うべき

[koba789]

Vue 管理下の HTML は <script> タグの中身みたいなもんなんだから動的生成しちゃアカンでしょ。JS に魂売り渡した以上は中途半端にサーバーサイドのテンプレートエンジンに頼っちゃいけないよ

[teppeis]

コンテキストが重なるエスケープは人間には不可能

[h5y1m141]

これ、最初見た時になんか問題点の指摘がイマイチ違うような気もしたけど、コメント欄の最後のalfaさん書かれてる今回のような使い方の想定背景の話などみてようやくわかった。

[luccafort]

うまくいえないけど問題の本質がズレているような…。でもこういう危険もあるぞ！という主張は積極的に上げていくのは大賛成だ。

[nacika_inscatolare]

SSR（SSRとは言ってない）

[Quramy]

「Railsやphpなどでhtmlを出力すること」を「SSRに乗せる」と称するのが違和感あるけど、俺だけなのかな…。

[tmatsuu]

ほう

[tyru]

確かに怖いけどそもそもテンプレートエンジンと組み合わせるのはしたくないなぁ…ただコメント見ると既存システムに Vue.js 導入したいってケースは確かにあるかも

[headless_pasta]

vue.jsでSSRやる予定が1つあるのでこのあたりしっかりと調べておこう。

[KoshianX]

あかん。 Rails 側で mustache 記法を 無害化する仕組みを入れたほうがいいかもなこれ……。

[Dai_Kamijo]

“VueをSSRに乗せると容易にXSSを生み出す場合がある - Qiita” — 徳丸 浩 (@ockeghem) September 5, 2017 from Twitter https://twitter.com/Dai_Kamijo September 05, 2017 at 04:05PM via IFTTT

[fbis]

自分でjs処理内にテンプレートタグ埋め込んどいて、javascriptとして実行されて困る！みたいな話か。なまじVue.js管理下のHTMLが普通のHTMLに見えちゃうゆえの問題かねぇ

[rjge]

“mustache記法で使用する { } はHTMLタグではないのでエスケープされずにそのまま出力されます” 補完機能便利なんだけどこういうのあるのがつらい

[houyhnhm]

ぬ。