Quelle: dotnetpro
HTML säubern im Browser 12.05.2023, 00:00 Uhr

Putzkolonne

HTML von bösartigem Beifang befreien – Möglichkeiten und Grenzen.
Bereits in der vorangegangenen Ausgabe der dotnetpro ging es um einen Ansatz moderner Browser, um Cross-­Site Scripting (XSS) zu verhindern [1]. Mit dem HTML Sanitizer API gibt es (perspektivisch) eine Möglichkeit, Zeichenketten mit HTML-Inhalt „harmlos“ zu machen und insbesondere enthaltenen JavaScript-Code und andere dynamische Inhalte zu entfernen. Die Browserunterstützung war bislang allerdings nicht sehr berauschend: Teilweise musste das API ­extra aktiviert werden (es kann also nicht vorausgesetzt werden), und darüber hinaus gab es erhebliche Unterschiede dank zweier API-Versionen.
Für das HTML Sanitizer API gilt genauso wie für manches andere XSS-Gegenmittel, beispielsweise Content Security Policy (CSP) [2], dass es sich um eine „Defense in Depth“-Maßnahme handelt – getreu dem Motto „Viel hilft viel“ erhöht also jeder Bestandteil einer Anti-XSS-Strategie die Sicherheit einer Webanwendung. Aus diesem Grund geht es dieses Mal um weitere XSS-Gegenmaßnahmen in Browsern.

Jetzt 1 Monat kostenlos testen!

Sie wollen zukünftig auch von den Vorteilen eines plus-Abos profitieren? Werden Sie jetzt dotnetpro-plus-Kunde.
  • + Digitales Kundenkonto,
  • + Zugriff auf das digitale Heft,
  • + Zugang zum digitalen Heftarchiv,
  • + Auf Wunsch: Weekly Newsletter,
  • + Sämtliche Codebeispiele im digitalen Heftarchiv verfügbar