herokuの練習を兼ねてweb上のサンプルをもとに、2014/10に作ったものを下に晒します。

Node.js, Express, socket.ioを利用したチャットアプリケーションで、同時に接続しているセッション間でチャットすることができます。

実はこのアプリケーションには脆弱性が存在します。

<script type="text/javascript">window.location="http://google.com"</script>

や

<script type="text/javascript">alert('aaa')</script>

というコードをチャット欄に入力すると、そのコードが接続しているどのブラウザでも実行されるのです。

つまり、任意のjavascriptのコードが実行されてしまうという脆弱性を持っているのです。

まだ修正していませんので、試したいかたは複数のブラウザを立ち上げてこのページにアクセスして、上記のスクリプトを打ち込んでみてください。

今後の展望としては、herokuの無料postgreSQLサーバーへのチャット履歴の保存、bootstrapによるデザインの向上などを視野に入れています。

最後に、この脆弱性を指摘してくださった友人に感謝します。

参考ページ

jQueryによるそういった入力をエスケープする方法は、以下のサイトが参考になると思います。

<a href="http://nrbm647.blog.fc2.com/blog-entry-40.html">XSS対策　：　jQueryでのエスケープ - 年中暁を覚えず・・・・</a>nrbm647.blog.fc2.com

またこのアプリケーションを作成するにあたり、下記のサンプルを大幅に参考にさせていただきました。この場を借りて、御礼申し上げます。

<a href="http://creator.cotapon.org/articles/node-js/%E3%80%90node-js%E3%80%91socket-io%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%A6%E7%B0%A1%E5%8D%98%E3%81%AB%E3%83%81%E3%83%A3%E3%83%83%E3%83%88%E3%82%92%E4%BD%9C%E3%82%8B%E6%96%B9%E6%B3%95">【Node.js】socket.ioを使って簡単にチャットを作る方法</a>creator.cotapon.org

備忘録 blog

Docker/Machine Learning/Linux

Node.jsでチャットアプリケーションを立ち上げた

参考ページ