Angularのセキュリティ

Angularが対策しているセキュリティ対策は大きく二つ。

• XSS
• CSRF

XSS対策

HTML

scriptタグがサニタイズの対象

Style

url:(javascript:alert("hello"))とすることでJavaScriptを実行することが通常可能だが、url:(…)の内部がurlとして不正な場合はサニタイズされる

URL

a:hrefなどはstyle要素と同様の脆弱性があるが、同様にサニタイズされる

Resource URL

iframe周りは一律error(迂回策はあり）

CSRF

HttpClientModuleの設定で自動でXSRF-Tokenを設定する(POST/PUTメソッドでGETには適用されない）

基本この辺。認証周りは責任範囲外