HTML säubern im Browser
12.05.2023, 00:00 Uhr
Putzkolonne
HTML von bösartigem Beifang befreien – Möglichkeiten und Grenzen.
Bereits in der vorangegangenen Ausgabe der dotnetpro ging es um einen Ansatz moderner Browser, um Cross-Site Scripting (XSS) zu verhindern [1]. Mit dem HTML Sanitizer API gibt es (perspektivisch) eine Möglichkeit, Zeichenketten mit HTML-Inhalt „harmlos“ zu machen und insbesondere enthaltenen JavaScript-Code und andere dynamische Inhalte zu entfernen. Die Browserunterstützung war bislang allerdings nicht sehr berauschend: Teilweise musste das API extra aktiviert werden (es kann also nicht vorausgesetzt werden), und darüber hinaus gab es erhebliche Unterschiede dank zweier API-Versionen.
Für das HTML Sanitizer API gilt genauso wie für manches andere XSS-Gegenmittel, beispielsweise Content Security Policy (CSP) [2], dass es sich um eine „Defense in Depth“-Maßnahme handelt – getreu dem Motto „Viel hilft viel“ erhöht also jeder Bestandteil einer Anti-XSS-Strategie die Sicherheit einer Webanwendung. Aus diesem Grund geht es dieses Mal um weitere XSS-Gegenmaßnahmen in Browsern.
Jetzt 1 Monat kostenlos testen!
Sie wollen zukünftig auch von den Vorteilen eines plus-Abos profitieren? Werden Sie jetzt dotnetpro-plus-Kunde.
- + Digitales Kundenkonto,
- + Zugriff auf das digitale Heft,
- + Zugang zum digitalen Heftarchiv,
- + Auf Wunsch: Weekly Newsletter,
- + Sämtliche Codebeispiele im digitalen Heftarchiv verfügbar
