Mozilla近日表示,相信Trusted Types安全技术可以防范DOM-based跨站攻击,强化网页端的安全防护,但认为还不到实作于Firefox的时候。
Mozilla成员指出,经过彻底的规格检视后,Mozilla相信信任类型在防范文件对象模型(DOM-based)跨站脚本程序(Cross Site Scripting,XSS)攻击的能力,过往在保护知名网站有优异成果。
DOM-based XSS是攻击者在URL中输入DOM对象,利用JavaScript产生完整网页,却没有检查输入资料的漏洞,让浏览器浏览网页的过程,带入恶意代码。 网站及浏览器支持信任类型(Trusted Types)可以防范这类攻击。 Google在2020年的Chrome 83已经加入支持,微软Edge、Opera也已加入。 但是Mozilla Firefox及苹果Safari则仍未支持。
虽然Mozilla对这项技术开始认同,但在将之实作到Firefox推向所有用户之前,Mozilla对Trusted Types仍然有些疑虑。 其中包括是否会影响浏览器的XSS过滤器,以及其配置方法。 和百度小组的讨论让他们对该技术在 Web 上的有效性及用途仍有「不清楚」的地方。 他们也发现Chrome实作有某些功能是超出标准化的范畴,他们相信可能也还会有变动。
《The Register》分析,在Chrome支持Trusted Types后,有助XSS攻击的减少,报导引述专家人士说,相信最后主要浏览器业者最后都会支持这项安全技术。
