[追記]この記事は情報が古めです。Reactで起こるXSSパターンは他にも存在するので、CTFやbug bountyなどの言葉と一緒に検索してみてください。 この記事は脆弱性"&'<<>\ Advent Calendar 2016の13日目の記事です。 前日の記事はnullです。 この記事を見ている皆さんは仮想DOMに魂を震わせられているでしょうか*1、それともjavascriptに疲れてきた頃でしょうか。私はimagemagick関連を調べるのに疲れてきたところです。 React.jsで起こるXSS ここ数年のwebサービスではReact.jsのような仮想DOMを扱うライブラリを使ってhtmlがレンダリングされていることが多いので、典型的なDOM Based XSSなどは少なくなってきたように感じます*2。React.jsを例にすると、JSXがjsに変換されて仮想DOM経由でDOMを組み
![React.jsで起こるXSS (advent calendar 12日目の話) - ooooooo_qの日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/afe453269d4d0dd6926374ee2d08699b53af20bd/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fo%2Fooooooo_q%2F20161213%2F20161213071333.png)