圖片來源: 

Mozilla

Mozilla近日表示,相信Trusted Types安全技術可以防範DOM-based跨站攻擊,強化網頁端的安全防護,但認為還不到實作於Firefox的時候。

Mozilla成員指出,經過徹底的規格檢視後,Mozilla相信信任類型在防範文件物件模型(DOM-based)跨站腳本程式(Cross Site Scripting,XSS)攻擊的能力,過往在保護知名網站有優異成果。

DOM-based XSS是攻擊者在URL中輸入DOM物件,利用JavaScript產生完整網頁,卻沒有檢查輸入資料的漏洞,讓瀏覽器瀏覽網頁的過程,帶入惡意程式碼。網站及瀏覽器支援信任類型(Trusted Types)可以防範這類攻擊。Google在2020年的Chrome 83已經加入支援,微軟Edge、Opera也已加入。但是Mozilla Firefox及蘋果Safari則仍未支援。

雖然Mozilla對這項技術開始認同,但在將之實作到Firefox推向所有用戶之前,Mozilla對Trusted Types仍然有些疑慮。其中包括是否會影響瀏覽器的XSS過濾器,以及其配置方法。和Google小組的討論讓他們對該技術在Web上的有效性及用途仍有「不清楚」的地方。他們也發現Chrome實作有某些功能是超出標準化的範疇,他們相信可能也還會有變動。

《The Register》分析,在Chrome支援Trusted Types後,有助XSS攻擊的減少,報導引述專家人士說,相信最後主要瀏覽器業者最後都會支援這項安全技術。

熱門新聞

Advertisement