match-url-pattern.js
156 lines
| 1 | /** |
| 2 | * 許可 URL パターンと src URL のドメイン境界一致を判定するユーティリティ。 |
| 3 | * |
| 4 | * `https://*.example.com/path/*` のようなパターン表記をサポートし、 |
| 5 | * - ホスト名はドメイン境界(ドット区切り)で判定して |
| 6 | * `https://attacker.com/.example.com/...` のような偽� |
| 7 | を弾く |
| 8 | * - パス側は `*` を正規表現の `.*` に展開して柔軟一致 |
| 9 | * を行う。 |
| 10 | */ |
| 11 | |
| 12 | // ワイルドカードを URL として解釈するためのプレースホルダ。 |
| 13 | // ユーザーが� |
| 14 | �力する許可 URL パターンにこの文字列が含まれる現実性はほぼ |
| 15 | // ゼロだが、衝突可能性をさらに下げるため目立つ識別子にしている。 |
| 16 | const WILDCARD_PLACEHOLDER = 'vkwildcardplaceholder'; |
| 17 | |
| 18 | // 正規表現特殊文字をエスケープ。 |
| 19 | const escapeRegExp = (str) => str.replace(/[.*+?^${}()|[\]\\]/g, '\\$&'); |
| 20 | |
| 21 | /** |
| 22 | * ホスト名のドメイン境界一致判定。 |
| 23 | * |
| 24 | * patternHost が "*.example.com" のとき、 "example.com" 自体と |
| 25 | * 任意のサブドメインを許可する(パス側の偽� |
| 26 | サブドメインは弾く)。 |
| 27 | * |
| 28 | * @param {string} hostname 検証対象 URL のホスト名 |
| 29 | * @param {string} patternHost 許可パターンのホスト名(`*.` プレフィックス可) |
| 30 | * @return {boolean} 一致すれば true |
| 31 | */ |
| 32 | export const isHostMatch = (hostname, patternHost) => { |
| 33 | if (!patternHost.startsWith('*.')) { |
| 34 | return hostname === patternHost; |
| 35 | } |
| 36 | const suffix = patternHost.slice(2); |
| 37 | return hostname === suffix || hostname.endsWith('.' + suffix); |
| 38 | }; |
| 39 | |
| 40 | // 生 URL 文字列から明示ポート(`:1234`)を抽出する。 |
| 41 | // new URL() はデフォルトポート(http:80 / https:443)を空文字に正規化してしまうため、 |
| 42 | // 「パターンがデフォルトポートを明示しているか」を保持できない。 |
| 43 | // → 明示ポートが書かれていたら fail-close で一致を要求するために、文字列段階で抽出する。 |
| 44 | const extractExplicitPort = (str) => { |
| 45 | const m = str.match(/^[a-z][a-z0-9+.-]*:\/\/[^/?#]*?:(\d+)(?=[/?#]|$)/i); |
| 46 | return m ? m[1] : ''; |
| 47 | }; |
| 48 | |
| 49 | /** |
| 50 | * 許可パターンと src URL のドメイン境界マッチ。 |
| 51 | * |
| 52 | * @param {string} urlStr 検証対象 URL |
| 53 | * @param {string} patternStr 許可パターン(例: `https://*.google.com/*`) |
| 54 | * @return {boolean} 一致すれば true |
| 55 | */ |
| 56 | export const matchUrlPattern = (urlStr, patternStr) => { |
| 57 | // 型ガード。`.replace` を持つが `.match` を持たないオブジェクト等が |
| 58 | // 紛れた場合に extractExplicitPort の中で例外が出るのを防ぎ、 |
| 59 | // fail-close に統一する。 |
| 60 | if (typeof urlStr !== 'string' || typeof patternStr !== 'string') { |
| 61 | return false; |
| 62 | } |
| 63 | |
| 64 | let url; |
| 65 | let patternUrl; |
| 66 | try { |
| 67 | url = new URL(urlStr); |
| 68 | patternUrl = new URL(patternStr.replace(/\*/g, WILDCARD_PLACEHOLDER)); |
| 69 | } catch (e) { |
| 70 | return false; |
| 71 | } |
| 72 | |
| 73 | // プロトコル一致 |
| 74 | if (url.protocol !== patternUrl.protocol) { |
| 75 | return false; |
| 76 | } |
| 77 | |
| 78 | // ホスト名はドメイン境界で判定(スラッシュを跨ぐ偽� |
| 79 | を防ぐ) |
| 80 | const patternHost = patternUrl.hostname.replace( |
| 81 | new RegExp(WILDCARD_PLACEHOLDER, 'g'), |
| 82 | '*' |
| 83 | ); |
| 84 | if (!isHostMatch(url.hostname, patternHost)) { |
| 85 | return false; |
| 86 | } |
| 87 | |
| 88 | // 明示ポート一致(パターンが :443 / :80 のようなデフォルトポートを明示している場合も含めて、 |
| 89 | // 対象 URL 側にも同じ明示ポートが� |
| 90 | 要。fail-close で別ポートのバイパスを防ぐ) |
| 91 | const patternExplicitPort = extractExplicitPort(patternStr); |
| 92 | if (patternExplicitPort) { |
| 93 | const urlExplicitPort = extractExplicitPort(urlStr); |
| 94 | if (urlExplicitPort !== patternExplicitPort) { |
| 95 | return false; |
| 96 | } |
| 97 | } |
| 98 | |
| 99 | // パスはワイルドカード対応の正規表現で判定 |
| 100 | const pathRegex = patternUrl.pathname |
| 101 | .split(WILDCARD_PLACEHOLDER) |
| 102 | .map(escapeRegExp) |
| 103 | .join('.*'); |
| 104 | if (!new RegExp('^' + pathRegex + '$').test(url.pathname)) { |
| 105 | return false; |
| 106 | } |
| 107 | |
| 108 | // クエリが指定されていれば同じワイルドカード規則で判定 |
| 109 | // (pathname のみ比較すると、フル URL で絞っていた既存パターンが今までより |
| 110 | // 広く許可されてしまうため、search も同じルールで比較する) |
| 111 | if (patternUrl.search) { |
| 112 | const searchRegex = patternUrl.search |
| 113 | .slice(1) |
| 114 | .split(WILDCARD_PLACEHOLDER) |
| 115 | .map(escapeRegExp) |
| 116 | .join('.*'); |
| 117 | if (!new RegExp('^' + searchRegex + '$').test(url.search.slice(1))) { |
| 118 | return false; |
| 119 | } |
| 120 | } |
| 121 | |
| 122 | // フラグメント(#hash)が指定されていれば同じワイルドカード規則で判定 |
| 123 | // (search と同じく fail-close。パターン側に hash が無ければ不問) |
| 124 | if (patternUrl.hash) { |
| 125 | const hashRegex = patternUrl.hash |
| 126 | .slice(1) |
| 127 | .split(WILDCARD_PLACEHOLDER) |
| 128 | .map(escapeRegExp) |
| 129 | .join('.*'); |
| 130 | if (!new RegExp('^' + hashRegex + '$').test(url.hash.slice(1))) { |
| 131 | return false; |
| 132 | } |
| 133 | } |
| 134 | |
| 135 | return true; |
| 136 | }; |
| 137 | |
| 138 | /** |
| 139 | * src URL が許可パターン� |
| 140 | �列のいずれかにマッチするか判定する。 |
| 141 | * |
| 142 | * @param {string} src 検証対象 URL |
| 143 | * @param {string[]} patterns 許可パターン� |
| 144 | �列 |
| 145 | * @return {boolean} いずれかに一致すれば true |
| 146 | */ |
| 147 | export const isAllowedSrc = (src, patterns) => { |
| 148 | if (!src) { |
| 149 | return false; |
| 150 | } |
| 151 | if (!Array.isArray(patterns) || patterns.length === 0) { |
| 152 | return false; |
| 153 | } |
| 154 | return patterns.some((pattern) => matchUrlPattern(src, pattern)); |
| 155 | }; |
| 156 |