Google dan Mozilla Mengembangkan API untuk Sanitasi HTML

  • Whatsapp
Google dan Mozilla Mengembangkan API untuk Sanitasi HTML

 

Insinyur Google, Mozilla, dan Cure53 telah berkolaborasi untuk membuat antarmuka pemrograman aplikasi (API) yang menawarkan solusi komprehensif untuk sanitasi HTML. API ini akan digunakan pada versi Mozilla Firefox dan browser web Google Chrome yang akan datang.
Sanitasi HTML adalah proses meninjau dokumen HTML dan membuat dokumen HTML baru yang hanya berisi tag “aman” dan diinginkan. Dengan membersihkan kode HTML apa pun yang dikirimkan oleh pengguna, pembersihan HTML dapat digunakan untuk bertahan dari serangan seperti pembuatan skrip lintas situs (XSS).
Sanitasi biasanya dilakukan dengan menggunakan strategi daftar putih atau daftar hitam. Sanitasi dapat dilakukan lebih lanjut dengan menggunakan aturan yang menentukan operasi mana yang harus dilakukan pada tag subjek.
Saat merender konten buatan pengguna atau bekerja dengan template, aplikasi web sering kali diharapkan untuk mengelola konten HTML dinamis di browser. Pemrosesan HTML sisi klien sering kali menimbulkan kelemahan keamanan, yang dieksploitasi oleh pelaku jahat untuk melakukan serangan XSS, mencuri data pengguna, atau menjalankan perintah web atas nama mereka.
“Secara historis, web telah dihadapkan dengan masalah XSS sejak awal JavaScript,” kata Frederik Braun, insinyur keamanan di Mozilla. “Web memiliki peningkatan dalam kemampuan browser dengan API baru dan dengan demikian dapat ditambahkan ke kotak alat penyerang.”
Untuk melindungi dari serangan XSS, banyak pengembang menggunakan pustaka JavaScript sumber terbuka seperti DOMPurify. DOMPurify mengambil string HTML sebagai masukan dan membersihkannya dengan menghapus bagian yang berpotensi rentan dan menghindarinya.
“Masalah dengan parsing HTML adalah bahwa itu adalah standar hidup dan dengan demikian menjadi target yang bergerak cepat,” kata Braun. “Untuk memastikan bahwa pembersih HTML berfungsi dengan benar pada masukan baru, ia harus mengikuti standar ini. Kegagalan untuk melakukannya dapat menjadi bencana besar dan menyebabkan bypass pembersih. ”
HTML Sanitizer API menggabungkan keamanan XSS langsung ke dalam browser. Kelas pembersih API dapat dibuat instance-nya dan digunakan tanpa perlu mengimpor pustaka eksternal.
“Ini memindahkan tanggung jawab untuk penguraian yang benar ke dalam perangkat lunak yang sudah sering mendapatkan pembaruan keamanan dan telah terbukti berhasil melakukannya tepat waktu,” kata Braun. Menurut Bentkowski, browser sudah memiliki pembersih built-in untuk info papan klip, jadi menggunakan kembali kode untuk memperluas kemampuan sanitasi asli sangat masuk akal.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *