Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS
Sursă: https://cybersecuritynews.com
Firefox 148 introduce noua interfață API standardizată Sanitizer, devenind primul browser care o implementează. Actualizarea reprezintă un pas important în direcția securității web, oferind dezvoltatorilor o modalitate simplă și eficientă de a preveni atacurile de tip Cross-Site Scripting (XSS).
XSS este una dintre cele mai comune și persistente vulnerabilități de pe internet. De aproape zece ani, se află în topul celor mai importante trei vulnerabilități web.
Aceste atacuri au loc atunci când un site web permite accidental persoanelor rău intenționate să injecteze cod HTML sau JavaScript rău intenționat prin conținutul generat de utilizatori.
Odată injectat, atacatorii pot monitoriza activitățile utilizatorilor, le pot manipula interacțiunile și le pot sustrage datele sensibile.
De ani de zile, prevenirea XSS a fost dificilă. Mozilla a inițiat eforturile în acest sens cu standardul Content-Security-Policy (CSP) în 2009.
Deși CSP este o măsură de securitate eficientă care limitează resursele pe care un browser le poate încărca, aceasta necesită modificări majore ale arhitecturii unui site web și revizuiri continue de către experți în securitate. Din acest motiv, CSP nu a fost adoptată pe scară largă de toate site-urile web.
Noua interfață API Sanitizer acoperă această lacună de securitate. Aceasta oferă o metodă standardizată de conversie a codului HTML malițios în cod HTML sigur și inofensiv înainte de a fi inserat într-o pagină web.
Elementul central al acestei noi măsuri de protecție este metoda setHTML().Aceasta integrează procesul de sanitizare direct în procesul de inserare HTML, asigurând siguranța implicită a site-urilor web.
Dezvoltatorii pot îmbunătăți cu ușurință securitatea site-ului lor web cu un efort minim. Prin simpla înlocuire a vechii metode innerHTML cu noua metodă setHTML(), aceștia pot activa protecții XSS mai puternice.
Dacă setările implicite sunt prea stricte sau nu sunt suficient de stricte, dezvoltatorii pot crea o configurație personalizată pentru a alege exact elementele HTML pe care doresc să le permită.
Mozilla oferă, de asemenea, un spațiu de testare pentru API-ul Sanitizer, unde dezvoltatorii pot testa instrumentul înainte de a-l utiliza pe un site live.
Pentru o protecție maximă, API-ul Sanitizer funcționează perfect cu Trusted Types, o altă caracteristică de securitate acceptată în Firefox 148.
Împreună, acestea controlează modul în care codul HTML este analizat și injectat, blocând metodele nesigure și prevenind viitoare vulnerabilități de tip XSS.
Sursă: https://cybersecuritynews.com/firefox-148-released-with-sanitizer/
