В Chrome появится защита от XSS-атак через DOM
Специалисты планируют протестировать функцию под названием Trusted Types на протяжении 2019 года.
Инженеры Google работают над новым API для браузера Chrome, который призван защитить пользователей от определенного типа XSS-атак, в частности, XSS через DOM (DOM Based XSS). Специалисты планируют протестировать функцию под названием Trusted Types на протяжении 2019 года (в версиях Chrome 73 — 76) и, если все пойдет как положено, новый функционал станет постоянным. Эксперты различают несколько типов XSS: «отраженные» («reflected XSS» или «Type 1»), «хранимые» («stored XSS» или «Type 2»), XSS через DOM. Последняя, по сути, представляет собой уязвимость в исходном коде сайта, которой злоумышленники могут воспользоваться для совершения различных действий – кражи файлов cookie, манипуляции содержимым страницы, переадресации пользователей и пр.
Задача Trusted Types заключается в предотвращении подобного рода атак путем блокировки «точек внедрения» кода в код web-сайта. Включить новую функцию владельцы сайтов смогут в настройках CSP (Content Security Policy), выставив определенное значение. Более подробно новый функционал описан в блоге Google.
Trusted Types станет второй функцией Chrome, направленной на защиту от XSS-атак, после фильтра XSS Auditor, представленного в выпущенной в 2010 году версии Chrome 4.
XSS в DOM-модели возникает на стороне клиента во время обработки данных внутри JavaScript сценария. Данный тип XSS получил такое название, поскольку реализуется через DOM (Document Object Model) — не зависящий от платформы и языка программный интерфейс, позволяющий программам и сценариям получать доступ к содержимому HTML и XML-документов, а также изменять содержимое, структуру и оформление таких документов. При некорректной фильтрации возможно модифицировать DOM атакуемого сайта и добиться выполнения JavaScript-кода в контексте атакуемого сайта.