Интереснее всего, на этом мероприятие представили новый API который защищает от XSS (первоочередно от DOM-based), какой носит название Trusted Types.
От ныне производители смогут на своем сайте ограничить опасную вставку содержимого в DOM специальной политкой, которая запускается в CSP-заголовках. В данном случае в качестве параметров для функций (или свойств), которые порождают опасный html (так званные inоjection sinks, на пример, Element.innerHTML или HTMLScriptElement.src), могут быть использованы только объекты-политики, в каких можно опиcaть реализацию caнитaйзингa или проверки формата, который попадает в DOM.
ие представили новый API который защищает от XSS (первоочередно от DOM-based), какой носит название Trusted Types.
От ныне производители смогут на своем сайте ограничить опасную вставку содержимого в DOM специальной политкой, которая запускается в CSP-заголовках. В данном случае в качестве параметров для функций (или свойств), которые порождают опасный html (так званные inоjection sinks, на пример, Element.innerHTML или HTMLScriptElement.src), могут быть использованы только объекты-политики, в каких можно опиcaть реализацию caнитaйзингa или проверки формата, который попадает в DOM.
