Chrome endi DOM orqali XSS hujumlaridan himoyaga ega bo’ladi.
Mutaxassislar 2019-yil davomida Ishonchli Turlar deb nomlangan funksiyani sinab ko’rishni rejalashtirmoqdalar.
Google muhandislari foydalanuvchilarni ma’lum bir turdagi XSS hujumidan, xususan, DOM asosidagi XSSdan himoya qilish uchun mo’ljallangan Chrome brauzeri uchun yangi API ustida ishlamoqdalar. Jamoa Ishonchli turlar deb nomlangan funksiyani 2019-yil davomida (Chrome 73–76 versiyalarida) sinab ko’rishni rejalashtirmoqda va agar hamma narsa yaxshi bo’lsa, yangi funksiya doimiy bo’lib qoladi. Mutaxassislar XSSning bir nechta turlarini ajratib ko’rsatishadi: aks ettirilgan XSS (1-tur), saqlangan XSS (2-tur) va DOM asosidagi XSS. Ikkinchisi asosan veb-saytning manba kodidagi zaiflik bo’lib, hujumchilar undan turli xil amallarni bajarish uchun foydalanishlari mumkin, jumladan, cookie-fayllarni o’g’irlash, sahifa tarkibini boshqarish, foydalanuvchilarni yo’naltirish va boshqalar.
Ishonchli Turlar veb-sayt kodi ichidagi kod kiritish nuqtalarini blokirovka qilish orqali ushbu turdagi hujumlarning oldini oladi. Veb-sayt egalari ushbu funksiyani o’zlarining Kontent Xavfsizligi Siyosati (CSP) sozlamalarida ma’lum bir qiymatni belgilash orqali yoqishi mumkin. Yangi funksiya Google blogida batafsilroq tasvirlangan.
Ishonchli turlar Chrome’ning XSS hujumlaridan himoya qilishga qaratilgan ikkinchi xususiyati bo’ladi, bu 2010-yilda chiqarilgan Chrome 4 da taqdim etilgan XSS Auditor filtridan keyin sodir bo’ladi.
DOMdagi XSS mijoz tomonida JavaScript skripti ichida ma’lumotlarni qayta ishlash paytida yuzaga keladi. XSSning bu turi shunday nomlangan, chunki u DOM (Document Object Model) orqali amalga oshiriladi, bu platforma va tildan mustaqil dasturlash interfeysi bo’lib, u dasturlar va skriptlarga HTML va XML hujjatlari tarkibiga kirish, shuningdek, bunday hujjatlarning tarkibi, tuzilishi va formatini o’zgartirish imkonini beradi. Noto’g’ri filtrlash maqsadli saytning DOMini o’zgartirishi va maqsadli sayt kontekstida JavaScript kodini bajarishi mumkin.
