Firefox 148 ile Daha Güçlü XSS Koruması: setHTML Devrimi

Cross-site scripting (XSS), web'deki en yaygın güvenlik açıklarından biri olmaya devam ediyor. Bu tür bir saldırı, web sitelerinin kullanıcı tarafından oluşturulan içerik aracılığıyla keyfi HTML veya JavaScript enjekte etmesine izin vererek, saldırganların kullanıcı etkileşimlerini izlemesine ve manipüle etmesine, ayrıca kullanıcı verilerini çalmasına olanak tanır. XSS, on yılı aşkın süredir en üst düzey web güvenlik açıkları (CWE-79) arasında yer alıyor ve önlenmesi zorluğuyla biliniyor.

Firefox, 2009'da Content-Security-Policy (CSP) standardına öncülük ederek XSS çözümlerine başından beri dahil oldu. CSP, web sitelerinin tarayıcının hangi kaynakları (betikler, stiller, görseller vb.) yükleyip çalıştırabileceğini kısıtlamasına izin vererek XSS'e karşı güçlü bir savunma hattı sağladı. Ancak, CSP mevcut web siteleri için önemli mimari değişiklikler ve güvenlik uzmanları tarafından sürekli inceleme gerektirdiğinden, web'in geniş kesimlerinde yeterli benimseme sağlayamadı.

Sanitizer API, kötü amaçlı HTML'i zararsız HTML'e dönüştürmek için standartlaştırılmış bir yol sağlayarak bu boşluğu doldurmak üzere tasarlandı. setHTML() yöntemi, HTML eklemeyi doğrudan sanitizasyon ile entegre ederek varsayılan olarak güvenlik sağlar. Örneğin, bir <img> etiketindeki onclick gibi zararlı öznitelikleri otomatik olarak kaldırır. Firefox 148, bu standartlaştırılmış güvenlik artırıcı API'yi sunan ilk tarayıcı oldu ve diğer tarayıcıların da yakında takip etmesi bekleniyor. Geliştiriciler, hata eğilimli innerHTML atamalarını setHTML() ile değiştirerek minimum kod değişikliğiyle daha güçlü XSS korumalarına geçebilirler. Varsayılan yapılandırma yeterli olmadığında, geliştiriciler hangi HTML öğelerinin ve özniteliklerinin korunacağını veya kaldırılacağını tanımlayan özel bir yapılandırma sağlayabilirler. Daha da güçlü korumalar için Sanitizer API, HTML ayrıştırma ve enjeksiyon üzerindeki kontrolü merkezileştiren Trusted Types ile birleştirilebilir.