Google voorziet Chrome van extra bescherming tegen cross-site scripting

[Captain Kirk]

Google heeft een nieuwe versie van Chrome uitgebracht die gebruikers extra tegen cross-site scripting (XSS) kan beschermen. Eerder werd dezelfde beveiligingsmaatregel al door Mozilla aan Firefox toegevoegd. Via XSS kan een aanvaller malafide scripts op websites of in webapplicaties injecteren die dan in de browser van het slachtoffer worden uitgevoerd. Zo is het bijvoorbeeld mogelijk om cookies, session tokens en andere vertrouwelijke informatie te stelen. Afgelopen december werd cross-site scripting door de MITRE Corporation uitgeroepen tot de gevaarlijkste kwetsbaarheid van 2025.

De HTML Sanitizer API, die nu aan Chrome en eerder aan Firefox werd toegevoegd, moet het eenvoudiger voor ontwikkelaars maken om XSS-vrije webapplicaties te ontwikkelen. Via de API kunnen ontwikkelaars binnen hun website of applicatie niet vertrouwde HTML 'sanitizen' voordat die in het Document Object Model (DOM) terechtkomt. De API moet onbetrouwbare HTML omzetten naar veilige HTML, wat het doet door bepaalde elementen en attributen uit de HTML van gebruikers weg te halen.

De aanwezigheid van de API in Chrome wil niet zeggen dat gebruikers automatisch beschermd zijn, het is namelijk aan webontwikkelaars om hier gebruik van te maken. Google Chrome zal op de meeste systemen automatisch naar de nieuwe versie 146 upgraden.

 

bron: https://www.security.nl