图片来源:
Mozilla
Mozilla近日表示,相信Trusted Types安全技术可以防范DOM-based跨站攻击,强化网页端的安全防护,但认为还不到实作于Firefox的时候。
Mozilla成员指出,经过彻底的规格检视后,Mozilla相信信任类型在防范文件物件模型(DOM-based)跨站脚本程式(Cross Site Scripting,XSS)攻击的能力,过往在保护知名网站有优异成果。
DOM-based XSS是攻击者在URL中输入DOM物件,利用JavaScript产生完整网页,却没有检查输入资料的漏洞,让浏览器浏览网页的过程,带入恶意程式码。网站及浏览器支援信任类型(Trusted Types)可以防范这类攻击。Google在2020年的Chrome 83已经加入支援,微软Edge、Opera也已加入。但是Mozilla Firefox及苹果Safari则仍未支援。
虽然Mozilla对这项技术开始认同,但在将之实作到Firefox推向所有用户之前,Mozilla对Trusted Types仍然有些疑虑。其中包括是否会影响浏览器的XSS过滤器,以及其配置方法。和Google小组的讨论让他们对该技术在Web上的有效性及用途仍有「不清楚」的地方。他们也发现Chrome实作有某些功能是超出标准化的范畴,他们相信可能也还会有变动。
《The Register》分析,在Chrome支援Trusted Types后,有助XSS攻击的减少,报导引述专家人士说,相信最后主要浏览器业者最后都会支援这项安全技术。