Upgrade to Pro — share decks privately, control downloads, hide ads and more …

iframe sandboxでユーザー入力スクリプトを実行する

Avatar for syumai syumai
September 15, 2021
Programming
8
11k

iframe sandboxでユーザー入力スクリプトを実行する

Avatar for syumai

syumai

September 15, 2021
Tweet

More Decks by syumai

See All by syumai
Cloudflare Workersで進めるリモートMCP活用
Avatar for syumai syumai
5
660
Go 1.24でジェネリックになった型エイリアスの紹介
Avatar for syumai syumai
2
440
StarlingMonkeyを触ってみた話 - 2024冬
Avatar for syumai syumai
3
410
初めてDefinitelyTypedにPRを出した話
Avatar for syumai syumai
1
630
利用者視点で考える、イテレータとの上手な付き合い方
Avatar for syumai syumai
6
810
ECMAScript仕様を読むのに必要な知識 - ダイジェスト版
Avatar for syumai syumai
8
3.9k
コード生成を活用したgqlgen+dataloaderの実装パターン解説
Avatar for syumai syumai
7
1k
Goのmultiple errorsについて (2024年4月版)
Avatar for syumai syumai
5
10k
ECMAScript仕様の読み方ガイド 〜比較演算子編〜
Avatar for syumai syumai
7
1k

Other Decks in Programming

See All in Programming
ドメイン駆動設計とXPで支える子どもの未来 / Domain-Driven Design and XP Supporting Children's Future
Avatar for nrs nrslib
0
300
Beyond_the_Prompt__Evaluating__Testing__and_Securing_LLM_Applications.pdf
Avatar for Mete Atamel meteatamel
0
110
파급효과: From AI to Android Development
Avatar for HyunWoo Lee l2hyunwoo
0
170
はじめてのPDFKit.pdf
Avatar for shoma.kato shomakato
0
100
リアーキテクチャの現場で向き合う 既存サービスの読み解きと設計判断
Avatar for ymiyamu ymiyamu
0
130
CursorとDevinが仲間!?AI駆動で新規プロダクト開発に挑んだ3ヶ月を振り返る / A Story of New Product Development with Cursor and Devin
Avatar for r-kagaya rkaga
5
960
AWS Summit Hong Kong 2025: Reinventing Programming - How AI Transforms Our Enterprise Coding Approach
Avatar for Ernest Chiang dwchiang
0
140
2025-04-25 GitHub Copilot Agent ライブデモ(スクリプト)
Avatar for GOAMI Takaaki goataka
0
120
カオスに立ち向かう小規模チームの装備の選択〜フルスタックTSという装備の強み _ 弱み〜/Choosing equipment for a small team facing chaos ~ Strengths and weaknesses of full-stack TS~
Avatar for 株式会社ビットキー / Bitkey Inc. bitkey
1
150
The Missing Link in Angular’s Signal Story: Resource API and httpResource
Avatar for Manfred Steyer manfredsteyer
PRO
0
150
KANNA Android の技術的課題と取り組み
Avatar for Yosuke Watanabe watabee
1
540
大LLM時代にこの先生きのこるには-ITエンジニア編
Avatar for Kuu fumiyakume
8
3.4k

Featured

See All Featured
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
1.7k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
187
11k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
85
4.7k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
54
5.5k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
54
13k
Fireside Chat
Avatar for paigeccino paigeccino
37
3.4k
Done Done
Avatar for chrislema chrislema
184
16k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
34
2.2k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
273
40k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
298
20k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
14
1.5k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
33
6.6k

Transcript

  1. iframe sandboxでユーザー入力スクリプトを実行する syumai フロントエンドLT会 - vol.4 (2021/9/15)

  2. 自己紹介 syumai 普段はTypeScript (React / Next.js) やGoを書きつつ生活しています Twitter: @__syumai Website:

    https://syum.ai

  3. 本日のテーマ

  4. iframe sandboxでユーザー入力スクリプトを実行する

  5. 元々何がしたかったのか?

  6. ユーザーが入力したJavaScriptを安全に実行したかった

  7. 前提 提供するアプリケーション上で、ユーザーが、自身の書いたスクリプトを自身のページ 内で実行することを出来るようにしたい 不特定多数の人がスクリプトを実行するような使い方はしない

  8. 本発表における 安全 の定義とは?

  9. 本発表における 安全 の定義 アプリケーションの動作が破壊されないこと ユーザー入力スクリプトを実行することで、提供するアプリケーションのDOMが変 更されない アプリケーションの状態の変更が行われない => localStorage /

    sessionStorageなどの内容の書き換えが発生しない これが満たされないと、ユーザー入力スクリプトの内容によってアプリケーション全体をク ラッシュさせることが可能になる

  10. 実行したいスクリプトの例

  11. 実行したいスクリプトの例 加工前のObjectを保持する変数 const data = { a: 1, b: 2,

    c: 3 }; ユーザー入力スクリプト (Objectを加工する) { a: data.a * 2, c: data.c * 2 } 結果 (HTMLとして表示) key value a 2 c 6

  12. ユーザー入力スクリプト←ここをどう実行するかを考える { a: data.a, c: data.c * 2 }

  13. その上で、下記のような入力がアプリケーションを破壊しないようにする document.write("kaboom! "); // 画面上に `kaboom! ` だけが表示される window.localStorage.clear(); //

    localStorage 内の全データを消す

  14. 調べたこと 1. ユーザー入力スクリプトを実行する方法 2. ユーザー入力スクリプトの実行を安全に行う方法

  15. 1. ユーザー入力スクリプトを実行する方法

  16. 方法は2つ 1. eval 2. Function() constructor

  17. eval

  18. evalの使い方 式、または文 (および複数の文) を渡すと、それを評価して結果を返す const a = 2; const b

    = 3; eval("a * b"); // => 6 ( 式の評価) eval("a * b; a + b"); // => 5 ( 文の評価)

  19. evalの特徴 スコープを引き継ぐ evalが呼ばれた箇所のローカルスコープを引き継ぐ 危険: 本来使って欲しくない変数まで使えてしまう 低速: eval中で使われる変数名などをバイトコード中から探すため // 与えられたObject を

    `query` で変形する関数 function transformObject(obj, query) { const __SECRET_FUNCTION = () => console.log("kaboom! "); return eval(`(${query})`); } const data = { a: 2, b: 3 }; console.log( transformObject(data, "{ a: obj.a * 2, b: obj.b * 2 }") // => `{ a: 4, b: 6 }` ); console.log( transformObject(data, "__SECRET_FUNCTION()") // => `kaboom! ` );

  20. MDNより https://developer.mozilla.org/ja/docs/Web/JavaScript/Reference/Global_Objects/eval

  21. Function() constructor

  22. Function() の使い方 新たな関数を生成する 引数名の一覧と、関数のbodyを渡して使う const a = 2; const b

    = 3; const sum = new Function("x", "y", "return x + y;"); sum(a, b); // => 5 // `new` を書かなくても同様に使える const sum2 = Function("x", "y", "return x + y;");

  23. Function() の特徴 関数の生成に伴って、新たなスコープが切られる 本来使って欲しくない変数が使われることがない // 与えられたObject を `query` で変形する関数 function

    transformObject(obj, query) { const __SECRET_FUNCTION = () => console.log("kaboom! "); const transform = new Function("obj", `return (${query});`); return transform(obj); } const data = { a: 2, b: 3 }; console.log( transformObject(data, "{ a: obj.a * 2, b: obj.b * 2 }") // => `{ a: 4, b: 6 }` ); console.log( transformObject(data, "__SECRET_FUNCTION()") // => `Uncaught ReferenceError: __SECRET_FUNCTION is not defined` );

  24. ユーザー入力スクリプトへのstrict modeの適用 strict modeの適用も出来る // 与えられたObject を `query` で変形する関数 function

    transformObject(obj, query) { const __SECRET_FUNCTION = () => console.log("kaboom! "); const transform = new Function("obj", `"use strict"; return (${query});`); return transform(obj); } const data = { a: 2, b: 3 }; console.log( transformObject(data, "with({ x: 100 }) { x }") // => `Uncaught SyntaxError: Unexpected token 'with'` );

  25. (本発表の定義において) Function() は安全か?

  26. Function() は 安全 の定義を満たすか アプリケーションの動作が破壊されないこと ユーザー入力スクリプトを実行することで、提供するアプリケーションのDOMが変 更されない => 変更できる window

    Objectを参照可能なので、自由にDOMを追加したり、操作した りできる アプリケーションの状態の変更が行われない => 変更できる アプリケーションと同じページ上で動作するので、localStorage / sessionStorageなどを自由に書き換えできる => 満たしていない

  27. 2. ユーザー入力スクリプトの実行を安全に行う方法

  28. どうすれば安全にできるか?

  29. どうすれば安全にできるか? window Objectを参照可能なので、自由にDOMを追加したり、操作したりできる window Objectの危険なプロパティを参照できないようにすれば、DOMを操作で きなくなる アプリケーションと同じページ上で動作するので、localStorage / sessionStorageなど を自由に書き換えできる

    localStorage / sessionStorageなどを参照出来ない場所でscriptを実行すれば書き 換えられない

  30. これらを満たすには? => 別Originでscriptを実行すればOK!

  31. Same-origin policy

  32. Same-origin policyとは MDNより あるオリジンによって読み込まれた文書やスクリプトが、他のオリジンにあるリソース にアクセスできる方法を制限するものです。 https://developer.mozilla.org/ja/docs/Web/Security/Same-origin_policy

  33. Originとは eijiさんの記事より Origin は scheme (http とか https とか)、hostname、port の組み合わせを指す。 same-origin

    と言った場合、これらすべてが一致するものを示している same-site/cross-site, same-origin/cross-originをちゃんと理解する: https://zenn.dev/agektmr/articles/f8dcd345a88c97

  34. Same-origin policyによってアクセスが制限されるもの iframe、window.openなどによって得たwindow Objectのプロパティ (一部除く) Access-Control-Allow-Originヘッダが設定されていないリソースへのfetch / XHR など

  35. Same-origin policyによってアクセスが制限されるもの iframe、window.openなどによって得たWindow Objectのプロパティ (一部除く) 今回関心があるのはこちら

  36. Window Objectの参照とは? iframe, window.openなどで得られる 参照取得方法の例 経路 親 => 子 子

    => 親 iframe iframe.contentWindow window.parent window.open(url) open関数の返り値 window.opener <a ... target="_blank"> - window.opener

  37. Window Objectを経由したプロパティアクセス 同一Originの例 https://a.com/index.html に https://a.com/iframe.html を埋め込む https://a.com/index.html のHTML <iframe

    src="https://a.com/iframe.html"> </iframe> https://a.com/iframe.html のHTML <script> window.parent.document.write("kaboom! "); </script> => https://a.com/index.html を表示すると、 kaboom! と画面に表示される

  38. Window Objectを経由したプロパティアクセス 別Originの例 https://a.com/index.html に https://b.com/iframe.html を埋め込む https://a.com/index.html のHTML <iframe

    src="https://b.com/iframe.html"> </iframe> https://b.com/iframe.html のHTML <script> window.parent.document.write("kaboom! "); </script> => 例外が発生する。内容: DOMException: Blocked a frame with origin "https://b.com" from accessing a cross-origin frame.

  39. Cross originでのWindow Objectの挙動 ごく一部を除いて、基本全てのプロパティへのアクセスが禁じられる ユーザー入力スクリプトを実行することで、提供するアプリケーションのDOMが変 更されない と言う条件を満たすのに使えそう! localStorage / sessionStorageへのアクセスも禁じられる

    アプリケーションの状態の変更が行われない と言う条件を満たすのに使えそう!

  40. Same-origin policyを踏まえた実装方針 別OriginのWindow Objectを入手して、その中でscriptを実行すること に決定

  41. 実装

  42. やること 1. 別OriginのWindow Objectを入手する 2. 1 のWindowにユーザー入力スクリプトを渡して実行する 3. 実行結果を入手する

  43. 1. 別OriginのWindow Objectを入手する

  44. iframe sandboxを使う! iframeにsandbox属性を設定すると、iframeの機能を制限できる sandbox属性を使うと、iframe内は特殊なOrigin ( null ) として、常にSame-origin policyに失敗させられる 同一Originからiframeのコンテンツを配信しても安全に出来る

    <iframe src="xxx" sandbox></iframe> <!-- 全て不許可 --> <iframe src="xxx" sandbox="allow-scripts"></iframe> <!-- JavaScript の実行のみ許可 --> sandbox属性はホワイトリスト形式 デフォルトは全て不許可 実は、 allow-popups なども存在する 入力スクリプトによる window.alert などの実行をセットで防げる

  45. 危険! allow-same-origin allow-same-origin を指定すると、通常の Same-origin policy が適用され、同一 Originだった場合 iframe内から親WindowのDOM操作などが可能になる そもそもsandbox属性の内容も書き換えられるし、何でも出来ちゃう

    今回の用途では絶対にNG <iframe src="xxx" sandbox="allow-scripts allow-same-origin"></iframe> <!-- 要注意! -->

  46. 実装 execScript関数を作る その中でiframeを生成する形にする function execScript(script) { const iframe = document.createElement("iframe");

    iframe.sandbox = "allow-scripts"; iframe.contentWindow // 別Origin のWindow Object が入手できた! ... }

  47. 2. 1 のWindowにユーザー入力スクリプトを渡して実行 する

  48. WindowのpostMessageを使う! Cross originではWindow Objectのプロパティアクセスが基本的に不可能 postMessage(message, targetOrigin) を使ったmessageの送受信は可能 iframeの例 親Window (https://a.com)

    const iframe = ... // https://b.com を埋め込んだiframe を取得する iframe.contentWindow.postMessage({ message: "hello!" }, "https://b.com"); 子Window (https://b.com) window.addEventListener("message", (event) => { console.log(event.data); // `{ message: "hello!" }` })

  49. postMessageの注意点 受信側が、どこからmessageを受け取るか選べない message イベントハンドラが複数Window Objectからの受信に対して共通になる origin / sourceのチェックは必須 window.addEventListener("message", (event)

    => { // https://a.com から受け付けたmessage しか処理しない! if (event.origin !== "https://a.com") { return; } // iframe の親Window から受け付けたmessage しか処理しない! if (event.source !== window.parent) { return; } ... });

  50. 実装 function execScript(script) { ... iframe.srcdoc = ` <script> window.addEventListener("message",

    (event) => { if (event.origin !== "${window.location.origin}") { return; } if (event.source !== window.parent) { return; } // 受け取ったscript の実行 const fn = new Function(event.data.script); // 結果を返す window.parent.postMessage({ result: fn() }, "${window.location.origin}") }); </script> `; // ユーザー入力スクリプトをiframe に送信する // `*` を指定するのは、`null` origin にmessage を送るため iframe.postMessage({ script }, "*"); ... } ※ ) 本当はiframeがmessageを受信出来る状態になるまで待つ必要がありますが、ここでは省略します

  51. 3. 実行結果を入手する

  52. 実装 2 で結果を返すところまで実装したので、あとはそれを受け取るだけ function execScript(script) { ... window.addEventListener("message", (event) =>

    { // `null` origin からの受信になる。ここのチェックは一旦skip // if (event.origin !== "null") { // return; // } if (event.source !== iframe.contentWindow) { return; } console.log(event.data); // 結果が入手できた! }); }

  53. 実装の工夫

  54. Promiseを使う どうしても非同期になってしまうので、Promiseで結果を取得できるようにする function execScript(script) { ... return new Promise(resolve =>

    { window.addEventListener("message", (event) => { if (event.source !== iframe.contentWindow) { return; } resolve(event.data); }); } }

  55. 引数を指定できるようにする // args Object を受け付ける function execScript(script, args) { ...

    iframe.srcdoc = ` <script> window.addEventListener("message", (event) => { ... const { script, args } = event.data; // args Object をkey とvalue の配列に分解する const keys = Object.keys(args); const values = Object.values(args); // args をFunction constructor に渡す const fn = new Function(...keys, script)(...values); window.parent.postMessage({ result: fn() }, "${window.location.origin}") }); </script> `; iframe.postMessage({ script, args }, "*"); ... }

  56. 完成! const a = 2; const b = 3; await

    execScript("a * b", { a, b }); // 6

  57. デモはこちら https://github.com/syumai/sandboxed-eval

  58. まとめ ユーザー入力スクリプトの安全な実行には別OriginのWindowが使える 別OriginのWindowは、iframe sandboxで簡単に使える Window Object間のmessage 送受信にはpostMessageが使える

  60. 補足

  61. postMessageの機能についての補足 もし、postMessageを使って関数の送信が可能であれば、悪意を持った関数を親 Windowに送って実行させることが出来ると考えられる これは可能か? => 不可能! postMessageによって送られるObjectは 構造化複製アルゴリズム によって複製さ れる

    WebWorker / IndexedDBとの値のやり取り等に使われるアルゴリズムと同じ このアルゴリズムでは、 関数は複製不可能なので送信時にエラーとなる。 詳細はこちら: https://developer.mozilla.org/ja/docs/Web/API/Web_Workers_API/Structured_clo ne_algorithm

  62. sandbox化されたiframeで実行出来るスクリプトについての補足 fetch / XHRは実行出来るか? => 出来ます。 Originが null になるだけで、外部にリクエストは普通に送ることが出来る。 今回のようなユースケースでなければ、場合によっては都合が悪い可能性があ

    る トラフィックの多いページにこのスクリプト実行機構を設置すると、意図せず 外部サイトへの大量リクエストが飛ぶ可能性があるので要注意

  63. sandbox化されたiframeで実行出来るスクリプトについての補足 iframeのメッセージ受信機構を破壊できるか? => 出来ます。 window.locationが書き込み可能なので、iframeに表示中のページを遷移するこ とが出来ます。 もし、遷移先に message handlerが設定されていた場合、親Windowから送信 したメッセージを対象のWindowから読まれる可能性がある点に注意です。

    今回のユースケースでは、スクリプトの実行者はスクリプトを作成した本 人となるため許容出来ます。 メッセージ受信機構が破壊されても機能を完全に停止させないようにするため には、(今回の実装のように、)iframeを関数呼び出しの度に生成するのがよい のではないかと考えています。