IT系の勉強会行ってきた Advent Calendar 2019 - Adventar の8日目

JavaScript全然ﾜｶﾗﾅｲけどXSSは心配なので聞きに行く。

Cross-Origin でも見えるもの

• XSSの次の攻撃はどうなる Post-XXS
  XS-Leaks and XS-Search（ブラウザのside-channelsを活用）
• サーバーサイドではなくフロント側でも対応

JSでDoSる

• node.jsでエラーでアプリが落ちる可能性がある
• 文字列処理や文字リテラルに注意
• JSONは複数のデータ型を取りうる
• HTMLタグの一部をサポートしてるチャットとかは処理気をつける

Site Isolationの話

• DataURLをiframeで表示するのは危険
• 機密ファイルでクロスサイトに読み込まれる必要ないものはCORPヘッダーを設定
• 信頼できないローカルファイルをブラウザでは開かない 

Json内のデータはちゃんとチェックしたいと思いました。