APIの使用は利便性を高める反面、次のリスクを伴います。

• セキュリティ上の問題が発生する。
• cybozu.comのサービスが正常に動作しなくなる。

このページでは、kintone APIを使用したプログラムを作成する上で注意すべき点を説明します。

「クロスサイトスクリプティング」（以下、XSS）とは、攻撃者がWebサイトに悪意のあるスクリプトのコードを挿入することで、閲覧者のWebブラウザーがそのスクリプトを実行してしまう脆弱性のことです。
XSSと同様に、CSSでも悪意のあるCSSコードをWebページに挿入して実行できてしまうことがあります。
このような攻撃が可能になる脆弱性のことを「CSSインジェクション」と呼びます。

XSSやCSSインジェクションのあるコードを読み込むことで、次のようなことが起こり得ます。

• kintoneのデータが盗み出される。
• 偽の画面が表示される。
• 悪意あるCookieがWebブラウザーに保存される。

1
2
3

const text1 = document.getElementById('text1');
const div1 = document.getElementById('div1');
div1.innerHTML = '<input type="text" value="' + text1.value + '" />';

このコードは、text1の値からテキストボックスを生成するコードです。
text1のテキストボックスに次の内容を入力すると、コード実装者の意図しないコードが実行されます。

1

"onclick="alert(1)

出力するすべての要素に対して、エスケープ処理をする

外部からプログラムに渡される文字列においては、特殊な意味をもつ文字（< > "など）をエスケープしてください。

HTMLの要素を適切にエスケープするには、さまざまな知識を要します。
できる限りdocument.writeやinnerHTMLを使用したHTMLの動的な生成を避けてください。
なおinnerHTMLの代わりにinnerTextを使用することでも、一般的なXSSは防げます。

出力するURLは「http://」または 「https://」で始まるURLだけにする

外部からの入力を元にaタグのhref属性やimgタグのsrc属性などのURLを動的に生成すると、javascript:などから始まる文字列を入力され、スクリプトを埋め込まれる場合があります。
これを防ぐには「http://」または「https://」で始まるURLのみを出力するようにします。

外部からの入力値を使用した要素の生成を避ける

untrustedには外部からの入力値が設定されているとします。

1
2
3
4
5
6
7

const tag = document.createElement('script');

// innerHTMLを使った実装は避ける
tag.innerHTML = untrusted;

// innerTextを使う
tag.innerText = untrusted;

信頼できない外部サイトに置かれたJavaScriptやCSSを読み込まない

取り込み先のスクリプトが変わり、ある日突然データを盗み出すためのプログラムが作動するかもしれません。
外部のスクリプトを取り込む場合は、そのサイトが信頼できるかを十分に確かめてください。

cybozu.comでは、HTTPSによりお客様のWebブラウザーとの通信を暗号化しています。
外部のシステムと連携する場合でもHTTPSに対応したAPIを利用してください。

外部サービスと連携する場合は、外部サービスの認証や認可に関する情報をどこかに保存する必要があります。
これらの情報が漏洩した場合の影響を考慮して、認証／認可情報の保存場所を慎重に検討したり、認証情報の公開範囲を限定したりするなどの対処を実施してください。
特にJavaScriptカスタマイズでは、一般利用者が閲覧できる場所に、認証／認可情報が保存されやすい傾向にあります。

• パスワード
• APIキー
• OAuthクライアントシークレットやアクセストークン

ここでは、次に分類して紹介します。

• 管理者（特定の権限を保持する人）しか閲覧できない保存先を推奨する。
• 一般ユーザーでも閲覧できる保存先を推奨しない。

これらはあくまで参考情報です。
繰り返しになりますが、漏洩した場合の影響を考慮して、適切な保存先を慎重に検討してください。

推奨する保存先

• バックエンド（サーバー内のデータベースやサーバーレスプラットフォームなど）
• kintoneプラグインのプロキシ ^*1
  • kintone.plugin.app.setProxyConfig()
  • kintone.plugin.app.getProxyConfig()
• GaroonプロキシAPI ^*2
• HttpOnlyのCookie ^*3

推奨しない保存先

• フロントエンドのプログラム（例：kintone JavaScriptカスタマイズ、Garoon JavaScriptカスタマイズ）
• Web Storage（localStorage、sessionStorage）
• HttpOnlyではないCookie
• kintoneプラグインの設定
  kintone.plugin.app.setConfig()
• Garoonプラグインの設定
  garoon.plugin.setConfig()

情報の保存先として利用されることが多いWeb Storageは、任意のJavaScriptからアクセスできます。
同様にkintoneプラグインの設定やHttpOnlyではないCookieも、JavaScriptからアクセスできます。

そのため、悪意のあるサイトにアクセスしてしまった場合などに、認証／認可情報が悪用される可能性があります。

外部からセキュアにkintoneのデータを操作する

cybozu.comから取得したデータには個人情報や機密情報が含まれます。
これらの情報を外部アプリケーションで保存する場合は、データの流出や損失が発生しないよう、慎重にシステムを設計し、運用してください。

ユーザーを一意に特定したい場合、システムが内部的に発行したユーザーIDを使用することを推奨します。
ログイン名はcybozu.com共通管理者が変更できる項目です。
後からユーザーのログイン名を別のユーザーのログイン名として付け替えた場合、ログイン名で識別すると意図しないユーザーを参照する可能性があります。

ユーザーIDは、次のAPIで取得できます。

• kintone JavaScript API
  ログインユーザーの情報を取得する
  レスポンスのidがユーザーIDです。
• Garoon JavaScript API
  ログインユーザーの情報を取得する
  レスポンスのidがユーザーIDです。
• User API
  ユーザーを取得する
  レスポンスのidsがユーザーIDです。

クロスドメイン制約のため、XHR（XMLHttpRequest）を使用したcybozu.comと外部サイトとの通信はできません。「Access-Control-Allow-Origin」ヘッダーは付与できません。

cybozu.comのCookieにはHttpOnly属性が付いているため、JavaScriptでcybozu.comのCookieは取得できません。

次のようなオブジェクトに渡すURLを、外部からの入力値を元に動的に生成する場合は、想定したURLが生成されていることを確認するように実装してください。

• location.href
• document.location
• window.open

JavaScriptのstrictモードを使うと、コーディングのミスを防ぎコードをよりセキュアなものにできます。
strictモードの詳細は次のページを参照してください。
MDN：厳格モード

strictモードの主な特徴

• 宣言した変数だけに値を代入できる。
• eval関数内で定義された変数のスコープが、その関数の中だけに限定される。
• arguments.calleeがサポートされない。

1
2

'use strict';
mistypedVaraible = 17; // throws a ReferenceError