[P0][security] frontend SSR JSON 삽입 경로 XSS 방어 escaping 적용 #22

New issue

Closed

opened 2026-05-02 04:34:04 +00:00 by boxqkrtm · 1 comment

boxqkrtm commented 2026-05-02 04:34:04 +00:00

Copy link

문제

crates/portal-relay/src/api/frontend.rs에서 public leases를 serde_json::to_string() 후 <script type="application/json"> 내부에 그대로 삽입합니다.

let leases = serde_json::to_string(&leases).unwrap_or_else(|_| "[]".to_string());
let ssr_script =
    format!("<script id="__SSR_DATA__" type="application/json">{leases}</script>");

serde_json::to_string()은 HTML script context escaping을 보장하지 않습니다.

위험

lease metadata 등에 </script><script>...</script> 형태의 문자열이 들어가면 script tag가 조기 종료되어 XSS가 가능합니다. landing card HTML은 escape_html()을 쓰더라도 SSR JSON 삽입 경로는 별도 방어가 필요합니다.

제안

• JSON을 script tag에 넣기 전 HTML script context escaping 적용
• 최소 escape 대상: <, >, &, U+2028, U+2029
• 또는 SSR JSON을 inline script가 아닌 별도 JSON endpoint/fetch 방식으로 분리

예시:

fn escape_json_for_html_script(raw: &str) -> String {
    raw.replace('<', "\u003c")
       .replace('>', "\u003e")
       .replace('&', "\u0026")
       .replace('\u{2028}', "\u2028")
       .replace('\u{2029}', "\u2029")
}

완료 기준

• </script>가 포함된 lease metadata가 HTML에서 script tag를 닫지 않음
• SSR JSON 파싱은 기존처럼 동작
• XSS regression test 추가

---

검토 기준: 업로드된 Rust portal-relay 코드 정적 리뷰. 리뷰 환경에서는 cargo check/test/clippy를 실행하지 못했습니다.

## 문제 `crates/portal-relay/src/api/frontend.rs`에서 public leases를 `serde_json::to_string()` 후 `<script type="application/json">` 내부에 그대로 삽입합니다. ```rust let leases = serde_json::to_string(&leases).unwrap_or_else(|_| "[]".to_string()); let ssr_script = format!("<script id="__SSR_DATA__" type="application/json">{leases}</script>"); ``` `serde_json::to_string()`은 HTML script context escaping을 보장하지 않습니다. ## 위험 lease metadata 등에 `</script><script>...</script>` 형태의 문자열이 들어가면 script tag가 조기 종료되어 XSS가 가능합니다. landing card HTML은 `escape_html()`을 쓰더라도 SSR JSON 삽입 경로는 별도 방어가 필요합니다. ## 제안 - JSON을 script tag에 넣기 전 HTML script context escaping 적용 - 최소 escape 대상: `<`, `>`, `&`, U+2028, U+2029 - 또는 SSR JSON을 inline script가 아닌 별도 JSON endpoint/fetch 방식으로 분리 예시: ```rust fn escape_json_for_html_script(raw: &str) -> String { raw.replace('<', "\u003c") .replace('>', "\u003e") .replace('&', "\u0026") .replace('\u{2028}', "\u2028") .replace('\u{2029}', "\u2029") } ``` ## 완료 기준 - `</script>`가 포함된 lease metadata가 HTML에서 script tag를 닫지 않음 - SSR JSON 파싱은 기존처럼 동작 - XSS regression test 추가 --- 검토 기준: 업로드된 Rust `portal-relay` 코드 정적 리뷰. 리뷰 환경에서는 `cargo check/test/clippy`를 실행하지 못했습니다.

gofix referenced this issue 2026-05-03 18:51:21 +00:00

fix: harden relay public surfaces #62

gofix commented 2026-05-03 18:58:35 +00:00

Owner

Copy link

수용했습니다. PR #62에서 SSR JSON을 script context용으로 <, >, &, U+2028, U+2029 escape하도록 변경하고 breakout 회귀 테스트를 추가했습니다. 검증: cargo test --locked, cargo clippy --locked --all-targets -- -D warnings.

수용했습니다. PR #62에서 SSR JSON을 script context용으로 <, >, &, U+2028, U+2029 escape하도록 변경하고 </script> breakout 회귀 테스트를 추가했습니다. 검증: cargo test --locked, cargo clippy --locked --all-targets -- -D warnings.

gofix closed this issue 2026-05-03 18:58:35 +00:00

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

master

codex/release-v2.3.2-20260606T133940Z-v2.3.2

codex/release-v2.3.1-20260606T053818Z-v2.3.1

codex/release-v2.3.0-20260601T053029Z-v2.3.0

fix/install-rustls-provider

fix/secure-existing-identity-dir-mode

codex/release-v2.2.5-20260531T135659Z-v2.2.5

codex/release-v2.2.4-20260528T101441Z-v2.2.4

fix/ech-sni-routing

codex/release-v2.2.3-20260520T013605Z-v2.2.3

codex/release-v2.2.2-20260515T172725Z-v2.2.2

codex/v221-upstream-compat

fix/ech-dns-records

feature/upstream-v2.2.0

codex/v219-server-compat

fix/debian-slim-final-stage

fix/disable-kaniko-cache-push

chore/drop-amd64-build

fix/amd64-build-opt-level-2

fix/amd64-build-oom-mitigation

fix/preserve-file-capabilities

chore/derive-release-version-from-env

chore/adopt-k3s-style-versioning

ci/kaniko-multi-arch-images

docs/relay-server-scope

codex/v218-relay-compat

feature/rollback-kaniko-image-build

cleanup/remove-multihop-diagnostics

fix/multihop-kernel-tcp

chore/bump-release-version-dev5

fix/issue-16-delete-zero-hop-route

fix/issue-16-hop-route-first-seen

chore/bump-release-version-dev4

ci/rust-checks

codex/multihop-structured-logs

fix/multihop-hop-route-signature

codex/relay-landing-rust-port-note

ci/multiarch-container-image

chore/release-v2.1.8-rs.dev3

ci/fix-registry-auth

chore/release-v2.1.8-rs.dev2

docs/update-unsupported-features

feature/tls-acme-cloudflare

ci/tagged-container-image

feature/distroless-runtime

feature/public-relays-list

feature/document-unsupported-upstream-features

v2.3.2+rs.1-dev.1

v2.3.1+rs.1

v2.3.1+rs.1-dev.1

v2.3.0+rs.1

v2.3.0+rs.1-dev.1

v2.2.5+rs.1

v2.2.5+rs.1-dev.3

v2.2.5+rs.1-dev.2

v2.2.5+rs.1-dev.1

v2.2.4+rs.1

v2.2.4+rs.1-dev.1

v2.2.3+rs.2

v2.2.3+rs.2-dev.1

v2.2.3+rs.1

v2.2.3+rs.1-dev.1

v2.2.2+rs.2

v2.2.2+rs.2-dev.1

v2.2.2+rs.1

v2.2.2+rs.1-dev.1

v2.2.1+rs.1

v2.2.0+rs.1

v2.1.9+rs.1

v2.1.8+rs.1

v2.1.8-rs.dev5

v2.1.8-rs.dev4

v2.1.8-rs.dev3

v2.1.8-rs.dev2

Labels

Clear labels

No items

No labels

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

2 participants

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference

gofix/portal-tunnel-rs#22

No description provided.