Trusted Types で DOM ベースのクロスサイト スクリプティングの脆弱性を防止

Krzysztof Kotowicz
Krzysztof Kotowicz
X GitHub

対応ブラウザ

  • Chrome: 83。
  • Edge: 83.
  • Firefox: サポートされていません。
  • Safari: サポートされていません。

ソース

DOM ベースのクロスサイト スクリプティング(DOM XSS)は、ユーザーが制御するソース(ユーザー名や URL フラグメントから取得したリダイレクト URL など)のデータがシンクに到達すると発生します。シンクとは、任意の JavaScript コードを実行できる eval() などの関数や .innerHTML などのプロパティ セッターです。

DOM XSS は最も一般的なウェブ セキュリティの脆弱性の 1 つであり、デベロッパー チームがアプリに誤って導入することがよくあります。Trusted Types は、危険なウェブ API 関数をデフォルトで安全にすることで、アプリケーションの作成、セキュリティ審査、DOM XSS の脆弱性の防止を行うためのツールを提供します。Trusted Types は、ブラウザがまだサポートしていない場合にポリフィルとして使用できます。

背景

長年にわたり、DOM XSS はウェブ セキュリティの脆弱性で最も広範で危険な脆弱性の一つです。

クロスサイト スクリプトには 2 種類があります。一部の XSS 脆弱性は、ウェブサイトを構成する HTML コードを安全に作成するサーバーサイド コードが原因で発生します。その他の問題の根本原因はクライアントにあり、JavaScript コードがユーザーが制御するコンテンツで危険な関数を呼び出しています。

サーバーサイド XSS を防ぐには、文字列を連結して HTML を生成しないでください。バグの軽減策として、安全なコンテキスト自動エスケープ テンプレート ライブラリとノンスベースのコンテンツ セキュリティ ポリシーを使用してください。

また、ブラウザで Trusted Types を使用することで、クライアント側の DOM ベースの XSS を防ぐことができます。

API の概要

信頼できる型は、次のリスクの高いシンク関数をロックダウンすることで機能します。ブラウザ ベンダーとウェブ フレームワークは、セキュリティ上の理由から、すでにこれらの機能の使用を推奨していません。そのため、すでにご存じの機能もあるかもしれません。

信頼できる型では、これらのシンク関数に渡す前にデータを処理する必要があります。ブラウザはデータが信頼できるかどうかを判断できないため、文字列のみを使用すると失敗します。

すべきでないこと
anElement.innerHTML  = location.href;
 Trusted Types が有効になっている場合、ブラウザは TypeError をスローし、文字列で DOM XSS シンクを使用できなくなります。

データが安全に処理されたことを示すために、信頼できるタイプという特殊なオブジェクトを作成します。

すべきこと
anElement.innerHTML = aTrustedHTML;
Trusted Types が有効になっている場合、ブラウザは HTML スニペットを想定しているシンクの TrustedHTML オブジェクトを受け入れます。他の機密性の高いシンクには、TrustedScript オブジェクトと TrustedScriptURL オブジェクトもあります。

Trusted Types により、アプリケーションの DOM XSS 攻撃対象領域が大幅に減少します。これにより、セキュリティ レビューが簡素化され、実行時にブラウザでコードをコンパイル、lint チェック、またはバンドルする際にタイプベースのセキュリティ チェックを適用できます。

信頼できる型の使用方法

コンテンツ セキュリティ ポリシー違反の報告に備える

オープンソースの reporting-api-processorgo-csp-collector などのレポート コレクタをデプロイするか、同等の商用製品を使用できます。ReportingObserver を使ってブラウザでカスタム ロギングを追加し、違反をデバッグすることもできます。

const observer = new ReportingObserver((reports, observer) => {
    for (const report of reports) {
        if (report.type !== 'csp-violation' ||
            report.body.effectiveDirective !== 'require-trusted-types-for') {
            continue;
        }

        const violation = report.body;
        console.log('Trusted Types Violation:', violation);

        // ... (rest of your logging and reporting logic)
    }
}, { buffered: true });

observer.observe();

または、イベント リスナーを追加します。

document.addEventListener('securitypolicyviolation',
    console.error.bind(console));

レポート専用の CSP ヘッダーを追加する

信頼できる型に移行するドキュメントに、次の HTTP レスポンス ヘッダーを追加します。

Content-Security-Policy-Report-Only: require-trusted-types-for 'script'; report-uri //my-csp-endpoint.example

これで、すべての違反が //my-csp-endpoint.example に報告されますが、ウェブサイトは引き続き機能します。次のセクションでは、//my-csp-endpoint.example の仕組みについて説明します。

Trusted Type 違反を特定する

今後は、Trusted Types が違反を検出するたびに、構成済みの report-uri にレポートを送信します。たとえば、アプリケーションが文字列を innerHTML に渡すと、ブラウザは次のレポートを送信します。

{
"csp-report": {
    "document-uri": "https://my.url.example",
    "violated-directive": "require-trusted-types-for",
    "disposition": "report",
    "blocked-uri": "trusted-types-sink",
    "line-number": 39,
    "column-number": 12,
    "source-file": "https://my.url.example/script.js",
    "status-code": 0,
    "script-sample": "Element innerHTML <img src=x"
}
}

これは、39 行目の https://my.url.example/script.js で、<img src=x で始まる文字列を使用して innerHTML が呼び出されたことを意味します。この情報は、DOM XSS を導入している可能性があり、変更が必要なコードの部分を絞り込むのに役立ちます。

違反を修正する

Trusted Type 違反を修正するには、いくつかの方法があります。問題のあるコードを削除し、ライブラリを使用して、Trusted Type ポリシーを作成できます。また、最後の手段としてデフォルト ポリシーを作成することもできます。

問題のあるコードを書き換える

準拠していないコードが不要になったか、違反の原因となる関数なしで書き換えることができる可能性があります。

すべきこと
el.textContent = '';
const img = document.createElement('img');
img.src = 'xyz.jpg';
el.appendChild(img);
すべきでないこと
el.innerHTML = '<img src=xyz.jpg>';

ライブラリを使用する

一部のライブラリでは、シンク関数に渡すことができる Trusted Types がすでに生成されています。たとえば、DOMPurify を使用して HTML スニペットをサニタイズし、XSS ペイロードを削除できます。

import DOMPurify from 'dompurify';
el.innerHTML = DOMPurify.sanitize(html, {RETURN_TRUSTED_TYPE: true});

DOMPurify は Trusted Types をサポートしており、ブラウザが違反を生成しないように、サニタイズした HTML を TrustedHTML オブジェクトにラップして返します。

信頼できるタイプのポリシーを作成する

違反の原因となっているコードを削除できず、値をサニタイズして信頼できるタイプを作成するライブラリが存在しないことがあります。このような場合は、信頼できるタイプのオブジェクトを自分で作成できます。

まず、ポリシーを作成します。ポリシーは、入力に特定のセキュリティ ルールを適用する Trusted Types のファクトリです。

if (window.trustedTypes && trustedTypes.createPolicy) { // Feature testing
  const escapeHTMLPolicy = trustedTypes.createPolicy('myEscapePolicy', {
    createHTML: string => string.replace(/\</g, '&lt;')
  });
}

このコードは、createHTML() 関数を使用して TrustedHTML オブジェクトを生成できる myEscapePolicy というポリシーを作成します。定義されたルールは、< 文字を HTML エスケープして、新しい HTML 要素の作成を防ぎます。

次のようなポリシーを使用します。

const escaped = escapeHTMLPolicy.createHTML('<img src=x onerror=alert(1)>');
console.log(escaped instanceof TrustedHTML);  // true
el.innerHTML = escaped;  // '&lt;img src=x onerror=alert(1)>'

デフォルト ポリシーを使用する

CDN からサードパーティ ライブラリを読み込む場合など、問題のあるコードを変更できないことがあります。その場合は、デフォルト ポリシーを使用します。

if (window.trustedTypes && trustedTypes.createPolicy) { // Feature testing
  trustedTypes.createPolicy('default', {
    createHTML: (string, sink) => DOMPurify.sanitize(string, {RETURN_TRUSTED_TYPE: true})
  });
}

default という名前のポリシーは、Trusted Type のみを受け入れるシンクで文字列が使用されている場合に使用されます。

コンテンツ セキュリティ ポリシーの適用に切り替える

アプリで違反が生成されなくなったら、信頼できる型の適用を開始できます。

Content-Security-Policy: require-trusted-types-for 'script'; report-uri //my-csp-endpoint.example

ウェブ アプリケーションがどれほど複雑であっても、DOM XSS の脆弱性を導入する可能性があるのは、ポリシーのコードのみです。ポリシーの作成を制限することで、さらにロックダウンできます。

関連情報