Trusted Types で DOM ベースのクロスサイト スクリプティングの脆弱性を防止

Krzysztof Kotowicz

DOM ベースのクロスサイト スクリプティング（DOM XSS）は、ユーザーが制御するソース（ユーザー名や、URL フラグメントから取得したリダイレクト URL など）からのデータが、任意の JavaScript コードを実行できる関数（eval() など）やプロパティ セッター（.innerHTML など）であるシンクに到達したときに発生します。

DOM XSS は最も一般的なウェブ セキュリティの脆弱性の 1 つであり、開発チームが誤ってアプリに導入してしまうことがよくあります。Trusted Types は、危険なウェブ API 関数をデフォルトで安全にすることで、DOM XSS の脆弱性のないアプリケーションを記述、セキュリティ レビュー、維持するためのツールを提供します。Trusted Types は、まだサポートしていないブラウザ向けのポリフィルとして利用できます。

背景

長年にわたり、DOM XSS は最も一般的で危険なウェブ セキュリティの脆弱性の 1 つでした。

クロスサイト スクリプティングには 2 種類あります。一部の XSS の脆弱性は、ウェブサイトを構成する HTML コードを安全でない方法で作成するサーバーサイド コードが原因で発生します。クライアントに根本原因がある場合もあります。この場合、JavaScript コードがユーザー制御のコンテンツで危険な関数を呼び出します。

サーバーサイド XSS を防ぐには、文字列を連結して HTML を生成しないでください。代わりに、安全なコンテキスト自動エスケープ テンプレート ライブラリと、バグを軽減するためのノンスベースのコンテンツ セキュリティ ポリシーを使用してください。

ブラウザでも、Trusted Types を使用してクライアントサイドの DOM ベースの XSS を防止できるようになりました。

API の概要

Trusted Types は、次の危険なシンク関数をロックダウンすることで機能します。ブラウザ ベンダーやウェブ フレームワークは、セキュリティ上の理由からこれらの機能の使用をすでに避けているため、これらの機能の一部はすでにご存じかもしれません。

• スクリプト操作:
  <script src> および <script> 要素のテキスト コンテンツの設定。
• 文字列から HTML を生成する:
  • innerHTML
  • outerHTML
  • insertAdjacentHTML
  • <iframe> srcdoc
  • document.write
  • document.writeln
  • DOMParser.parseFromString
• プラグイン コンテンツの実行:
  • <embed src>
  • <object data>
  • <object codebase>
• ランタイム JavaScript コードのコンパイル:
  • eval
  • setTimeout
  • setInterval
  • new Function()

Trusted Types では、これらのシンク関数にデータを渡す前にデータを処理する必要があります。文字列のみを使用すると、ブラウザはデータが信頼できるかどうかを認識できないため、失敗します。

anElement.innerHTML  = location.href;

データが安全に処理されたことを示すには、Trusted Type という特殊なオブジェクトを作成します。

anElement.innerHTML = aTrustedHTML;
  

Trusted Types を使用すると、アプリケーションの DOM XSS の攻撃対象領域を大幅に削減できます。セキュリティ レビューが簡素化され、コードのコンパイル、lint、バンドル時に実行される型ベースのセキュリティ チェックを、ブラウザで実行時に適用できます。

Trusted Types の使用方法

コンテンツ セキュリティ ポリシー違反レポートの準備

オープンソースの reporting-api-processor や go-csp-collector などのレポート コレクタをデプロイするか、同等の商用ツールを使用できます。ReportingObserver を使用して、ブラウザでカスタム ロギングとデバッグ違反を追加することもできます。

const observer = new ReportingObserver((reports, observer) => {
    for (const report of reports) {
        if (report.type !== 'csp-violation' ||
            report.body.effectiveDirective !== 'require-trusted-types-for') {
            continue;
        }

        const violation = report.body;
        console.log('Trusted Types Violation:', violation);

        // ... (rest of your logging and reporting logic)
    }
}, { buffered: true });

observer.observe();

または、イベント リスナーを追加します。

document.addEventListener('securitypolicyviolation',
    console.error.bind(console));

レポート専用の CSP ヘッダーを追加する

Trusted Types に移行するドキュメントに、次の HTTP レスポンス ヘッダーを追加します。

Content-Security-Policy-Report-Only: require-trusted-types-for 'script'; report-uri //my-csp-endpoint.example

すべての違反が //my-csp-endpoint.example に報告されますが、ウェブサイトは引き続き機能します。次のセクションでは、//my-csp-endpoint.example の仕組みについて説明します。

Trusted Type の違反を特定する

以降、Trusted Types が違反を検出するたびに、ブラウザは構成された report-uri にレポートを送信します。たとえば、アプリケーションが innerHTML に文字列を渡すと、ブラウザは次のレポートを送信します。

{
"csp-report": {
    "document-uri": "https://my.url.example",
    "violated-directive": "require-trusted-types-for",
    "disposition": "report",
    "blocked-uri": "trusted-types-sink",
    "line-number": 39,
    "column-number": 12,
    "source-file": "https://my.url.example/script.js",
    "status-code": 0,
    "script-sample": "Element innerHTML <img src=x"
}
}

これは、39 行目の https://my.url.example/script.js で、<img src=x で始まる文字列を使用して innerHTML が呼び出されたことを示しています。この情報は、DOM XSS を引き起こしている可能性があり、変更が必要なコード部分を特定するのに役立ちます。

違反を修正する

信頼できる型の違反を修正するには、いくつかの方法があります。問題のコードを削除する、ライブラリを使用する、Trusted Types ポリシーを作成する、最後の手段としてデフォルト ポリシーを作成するなどの方法があります。

問題のあるコードを書き換える

準拠していないコードが不要になったか、違反の原因となる関数なしで書き直すことができる可能性があります。

el.textContent = '';
const img = document.createElement('img');
img.src = 'xyz.jpg';
el.appendChild(img);

el.innerHTML = '<img src=xyz.jpg>';

ライブラリを使用する

一部のライブラリでは、シンク関数に渡すことができる Trusted Types がすでに生成されています。たとえば、DOMPurify を使用して HTML スニペットをサニタイズし、XSS ペイロードを削除できます。

import DOMPurify from 'dompurify';
el.innerHTML = DOMPurify.sanitize(html, {RETURN_TRUSTED_TYPE: true});

DOMPurify は Trusted Types をサポートしており、サニタイズされた HTML を TrustedHTML オブジェクトにラップして返します。これにより、ブラウザで違反が生成されなくなります。

信頼できる型のポリシーを作成する

違反の原因となっているコードを削除できない場合や、値をサニタイズして Trusted Type を作成するライブラリがない場合があります。このような場合は、Trusted Type オブジェクトを自分で作成できます。

まず、ポリシーを作成します。ポリシーは、入力に対して特定のセキュリティ ルールを適用する Trusted Types のファクトリです。

if (window.trustedTypes && trustedTypes.createPolicy) { // Feature testing
  const escapeHTMLPolicy = trustedTypes.createPolicy('myEscapePolicy', {
    createHTML: string => string.replace(/\</g, '&lt;')
  });
}

このコードは、createHTML() 関数を使用して TrustedHTML オブジェクトを生成できる myEscapePolicy というポリシーを作成します。定義されたルールは、新しい HTML 要素の作成を防ぐために < 文字を HTML エスケープします。

ポリシーは次のように使用します。

const escaped = escapeHTMLPolicy.createHTML('<img src=x onerror=alert(1)>');
console.log(escaped instanceof TrustedHTML);  // true
el.innerHTML = escaped;  // '&lt;img src=x onerror=alert(1)>'

デフォルト ポリシーを使用する

たとえば、CDN からサードパーティ ライブラリを読み込んでいる場合など、問題のあるコードを変更できないことがあります。その場合は、デフォルト ポリシーを使用します。

if (window.trustedTypes && trustedTypes.createPolicy) { // Feature testing
  trustedTypes.createPolicy('default', {
    createHTML: (string, sink) => DOMPurify.sanitize(string, {RETURN_TRUSTED_TYPE: true})
  });
}

default という名前のポリシーは、Trusted Type のみを受け入れるシンクで文字列が使用される場所で使用されます。

コンテンツ セキュリティ ポリシーの適用に切り替える

アプリケーションで違反が発生しなくなったら、Trusted Types の適用を開始できます。

Content-Security-Policy: require-trusted-types-for 'script'; report-uri //my-csp-endpoint.example

これで、ウェブ アプリケーションがどんなに複雑であっても、DOM XSS 脆弱性を引き起こす可能性があるのはポリシーのコードだけになります。また、ポリシーの作成を制限することで、さらに厳しく制限できます。

関連情報

• Trusted Types GitHub
• W3C 仕様のドラフト
• よくある質問
• 統合