Сделали отчет Chromium Security Q4.

Android

Member
Регистрация
05.07.2019
Сообщения
84
Оценка реакций
25
24B85F19-6C05-4242-8EAE-97ADE28C7288.png
Интереснее всего, на этом мероприятие представили новый API который защищает от XSS (первоочередно от DOM-based), какой носит название Trusted Types.

От ныне производители смогут на своем сайте ограничить опасную вставку содержимого в DOM специальной политкой, которая запускается в CSP-заголовках. В данном случае в качестве параметров для функций (или свойств), которые порождают опасный html (так званные inоjection sinks, на пример, Element.innerHTML или HTMLScriptElement.src), могут быть использованы только объекты-политики, в каких можно опиcaть реализацию caнитaйзингa или проверки формата, который попадает в DOM.
ие представили новый API который защищает от XSS (первоочередно от DOM-based), какой носит название Trusted Types.

От ныне производители смогут на своем сайте ограничить опасную вставку содержимого в DOM специальной политкой, которая запускается в CSP-заголовках. В данном случае в качестве параметров для функций (или свойств), которые порождают опасный html (так званные inоjection sinks, на пример, Element.innerHTML или HTMLScriptElement.src), могут быть использованы только объекты-политики, в каких можно опиcaть реализацию caнитaйзингa или проверки формата, который попадает в DOM.