概要

Firefoxは、ウェブアプリケーションに対するクロスサイトスクリプティング（XSS）攻撃からの保護を向上させるため、重大な更新を行いました。Firefox 148のリリースとともに、Mozillaは新しい標準化されたSanitizer APIを導入し、これが最初にこの組み込みセキュリティツールを搭載したブラウザとなる予定です。

クロスサイトスクリプティング（XSS）とは

XSSは、インターネットで最も古いかつ危険な脆弱性の一つです。これは、ウェブサイトがユーザーによって作成されたコンテンツ（例えばコメントやプロフィール情報など）を通じて攻撃者が有害なHTMLまたはJavaScriptを挿入することを許してしまう場合に発生します。

Sanitizer API の導入

Mozillaは、この問題を解決するための新しいSanitizer APIを導入しました。これは、悪意のあるHTMLを無害なHTMLに変換する簡単で標準化された方法を提供します。

• 新しいsetHTML()メソッドを使用すると、ブラウザは自動的にコードをチェックし、危険な要素を取り除きます。

開発者は、最小限のコード変更でより強力な保護を得ることができます。単にinnerHTMLをsetHTML()に置き換えるだけで、デフォルトで安全性が確保されます。

セキュリティ機能との組み合わせ

開発者は、Sanitizer APIとTrusted Types（Firefox 148でサポートされているもう一つのセキュリティ機能）を組み合わせることで、HTMLの処理方法に対する中央制御を得ることができます。

今後の展開

Mozillaは、他の主要ブラウザがSanitizer APIをすぐに採用することを期待しています。これにより、ウェブ開発者は専門的なセキュリティチームや大規模なコードの再構築なしでXSS攻撃から保護することができます。

テストと実装

新しい機能を試すために、開発者はSanitizer API Playgroundを使用してテストを行うことができます。その後、ライブサイトに展開する前に確認を行います。

---

元記事: https://gbhackers.com/firefox-148-unveils-new-sanitizer-api/