Skip to main content
Dev

Avoid DOM-based cross-site scripting vulnerabilities with trusted types




Related Posts
  1. Functions of the quality department in the company
  2. Does Elementor support shortcodes?
  3. Shortcode widget
  4. ✅ Solved: Exception Code 0xc0000409 Error

Reduce the DOM XSS attack surface of your application.

It appears in:
Safe and secure

Why should you care?

La secuencia de comandos de sitios cruzados basada en DOM (DOM XSS) es una de las vulnerabilidades de seguridad Web más comunes, y es muy fácil introducirla en su aplicación. Trust types
Brindarle las herramientas para escribir, revisar la seguridad y mantener aplicaciones libres de vulnerabilidades DOM XSS al hacer que las peligrosas funciones de la API web sean seguras de manera predeterminada. Los tipos de confianza son compatibles con Chrome 83 y polyfill está disponible para otros browsers. Watch Browser compatibility for up-to-date information on cross-browser compatibility.

Key term:
Las secuencias de comandos entre sitios basadas en DOM ocurren cuando los datos de un Username controlan
source (como el nombre de usuario o la Url de redireccionamiento tomada del fragmento de URL) alcanza un sink, which is a function like eval () or a property creator like
.innerHTML, que puede ejecutar código JavaScript arbitrario.

Background

For many years DOM XSS
it has been one of the most frequent and dangerous web security vulnerabilities.

Hay dos grupos distintos de secuencias de comandos entre sitios. Algunas vulnerabilidades XSS son causadas por el código del lado del server que crea de manera insegura el código HTML que forma el sitio web. Otros tienen una causa raíz en el client, donde el código JavaScript llama a funciones peligrosas con contents controlado por el usuario.

TO avoid server-side XSSPlease do not generate HTML by string concatenation and use safe template libraries with contextual automatic escape. Use a Nonce-based content security policy for additional mitigation against errors that inevitably occur.

Ahora, un browser también puede ayudar a prevenir los XSS del lado del cliente (también conocidos como basados ​​en DOM) con Trust types.

Introduction to the API

Trust types work by blocking the following risk sink functions. You may already recognize some of them, such as browser providers and web frames is already distancing you from using these features for security reasons.