Cải thiện bảo mật trong ReactJS
Bài đăng này đã không được cập nhật trong 3 năm
1. Bảo mật XSS với data-binding
Khi render một kiểu dữ liệu text
với data binding (được đặt trong dấu {}
), React sẽ mặc định xử lý để tránh các vấn đề về XSS , tuy nhiên lưu ý rằng nếu ta truyển vào trong attribute
của element
thì không thể có được tính năng này.
Do this
<div>{username}</div>
DON'T DO THIS
<form action={data}>...
2. URL
URL có thể chứa các bị injection bằng giao thức javascript:
. Ta nên validate URL
để chắc chắn rằng URL
là một trong hai dạng http:
hoặc https:
function validateURL(url) {
const parsed = new URL(url)
return ['https:', 'http:'].includes(parsed.protocol)
}
<a href={validateURL(url) ? url : ''}>Click here!</a>
<a href={attackerControlled}>Click here!</a>
3. Render HTML
Chúng ta thường xử dụng dangerouslySetInnerHTML để render một DOM node
bên trong ứng dụng, tuy nhiên mọi nội dung được render bên trong nó cần sanitized một cách sạch sẽ.
Sử dụng một thư viện sanitization như dompurify trên bất kỳ đoạn HTML trước khi đưa vào dangerouslySetInnerHTML
import purify from "dompurify";
<div dangerouslySetInnerHTML={{ __html:purify.sanitize(data) }} />
4. Access trực tiếp đến DOM
Khi access tới DOM
để inject thêm nội dung thêm vào element
nào đó, luôn sử dụng kết hợp dangerouslySetInnerHTML và dompurify như ở trên
import purify from "dompurify";
<div dangerouslySetInnerHTML={{__html:purify.sanitize(data) }} />
Tránh sử dụng refs và findDomNode() để inject tới DOM
bằng innerHTML như lúc còn đi học.
this.myRef.current.innerHTML = attackerControlledValue;
5. Server-side rendering
data binding mặc định sẽ escape
nội dung khi ta sử dụng các function server-side rendering như ReactDOMServer.renderToString() và ReactDOMServer.renderToStaticMarkup()
Tránh nối những dữ liệu chưa được sanitized với output của renderToStaticMarkup() khi gửi đến client
để tránh XSS.
DON'T DO THIS
app.get("/", function (req, res) {
return res.send(
ReactDOMServer.renderToStaticMarkup(
React.createElement("h1", null, "Hello World!")
) + otherData
);
});
6. Kiểm tra dependency
Có một số thư viện thứ ba đôi khi cũng chứ nhiều nguy hiểm dù vô tình hay cố ý, vì thế hãy thường xuyên kiểm tra kỹ và update lên phiên bản mới nhất để đảm bảo.
Hoặc sử dụng Snyk
để kiểm tra tự động.
$ npx snyk test
7. JSON
Gửi JSON
lên server không phải là chuyện hiếm gặp, tuy nhiên chúng ta cần escape ký tự <
để tránh injection
window.__PRELOADED_STATE__ = ${JSON.stringify(preloadedState).replace( /</g, '\\u003c')}
8. React
Nghe có vẻ vô lý, React mà cũng kém bảo mật ư ? Thật vậy, những version
của React cũng có chứa những rủi ro ngoài mong muốn, tuy nhiên đừng lo lắng hãy update
lên version
mới nhất nếu có thể để tăng cường bảo mật, không có gì là hoàn hảo cả nhưng có vẫn còn hơn không
9. Linter
Sử dụng các công cụ linter
để có thể detect
được những vấn đề bảo mật trong code của mình, sức người có hạn, chúng ta không thể tìm được từng lỗ hổng trong code của mình, đừng sợ nặng máy hay run code lâu mà ngại không sử dụng Linter
10. Library code
Một số thư viện thường sử dụng dangerouslySetInnerHTML
, innerHTML
để inject
HTML vào DOM
, không validate URL
hay một số thao tác thiếu bảo mật. Vì thế ta nên review
các thư viện đó thủ công hoặc bằng linter
, dùng linter
cho node_modules
cũng là một cách rất khả thi.
Tham khảo
All rights reserved