XSS攻撃の温床「innerHTML」はもう終わり、「Firefox 148」に「setHTML()」が導入／入力を自動でサニタイズしてくれる「Sanitizer API」が実装

どうせ古いサイトは放置なんだろけど、はよ全ブラウザーに導入されてほしい ( ˘ω˘ )

innerHTML は使われすぎだもんなぁ。多くのスクリプト系言語にある eval を乱用するようなもの。

innerHTMLにさよならバイバイか。長かったな...。これでセキュリティ事故が少しは減るんだろうか。ようやく標準化されて安心だわ

浸透待ち

メディアの記事なら「JavaScript」の単語を一つでも冒頭に入れようぜ。対象読者にはわかるだろうけどさ

むしろ対象読者以外はJavaScriptなんて言われても分からんから不要なんよ

色々古いAPIなくなってるんだろうなー、知識がだいぶ止まってるからそのうちAIにまとめて聞かないとな

innerHTML のような Web API は通常 JavaScript の中で使われるけれど、厳密には JavaScript の言語仕様ではないからね

「サニタイズ」という用語を使っていたら、その人は問題を正しく把握していない可能性が高い。入力を「無毒化」するのではなく、出力をエスケープするのが正しい。

そのうちCSPでinnerHTMLを禁止する事が出来るようになるんだろうな。デフォルト禁止はbroke the webなので勘弁してもろて

"「Firefox 148」で導入された「Sanitizer API」は、「innerHTML」に代わる仕組みとして「setHTML()」を提供する。「setHTML()」は書き込み専用のメソッドで、危険なスクリプトを含むHTMLコードを渡しても、自動で“無毒化”を行う。"

xssはもうとっくに絶滅したんでは

こういうのは当分置き換え無理なんだろうなあ…。フレームワークがよしなに置き換えてくれるのを待つだけかな？

今日日XSS起こすのはサーバーサイドにしろクライアントサイドにしろフレームワークを適切に使ってないが所以だろうから、XSSの発生率にはそんなに影響しなそうな気もするw