Firefox 148 renforce la protection contre les XSS avec l’introduction de setHTML

• Pour prévenir les attaques XSS, l’une des principales vulnérabilités du web, Firefox est le premier à prendre en charge l’API Sanitizer standardisée
• En utilisant la méthode setHTML() à la place de innerHTML, le HTML non fiable est automatiquement assaini (sanitize) avant son insertion dans le DOM, ce qui supprime les scripts malveillants
• Les développeurs peuvent contrôler les éléments et attributs autorisés via une configuration personnalisée si les réglages par défaut sont trop stricts ou pas assez
• Associée aux Trusted Types, cette fonctionnalité de Firefox élève le niveau de sécurité du web dans son ensemble et permet de prévenir les XSS même sans équipe sécurité dédiée

Vulnérabilités XSS et réponse de Firefox

• Le cross-site scripting (XSS) se produit lorsqu’un attaquant injecte du HTML ou du JavaScript arbitraire via un contenu saisi par l’utilisateur
  • Il peut alors surveiller les interactions des utilisateurs ou voler des données
  • Les XSS sont classées parmi les trois principales vulnérabilités du web (CWE-79) depuis près de dix ans
• Firefox renforce la défense contre les XSS depuis 2009 en jouant un rôle moteur dans le standard Content-Security-Policy (CSP)
  • Le CSP limite les ressources qu’un site web peut charger et exécuter
  • Mais son adoption à grande échelle restait limitée, car il exigeait des changements dans la structure des sites existants et des revues de sécurité continues

Rôle de l’API Sanitizer et de setHTML()

• L’API Sanitizer fournit une méthode standardisée pour transformer du HTML malveillant en contenu inoffensif
  • Dans l’exemple de code, l’élément <img src="x" onclick="alert('XSS')"> est supprimé et seul <h1>Hello my name is</h1> reste
• La méthode setHTML() applique automatiquement le processus d’assainissement lors de l’insertion de HTML, garantissant un comportement sûr par défaut
  • Il suffit de remplacer une affectation innerHTML existante par setHTML() pour obtenir une protection XSS robuste
• Si la configuration par défaut est trop stricte ou trop permissive, les développeurs peuvent définir les éléments et attributs HTML autorisés via une configuration personnalisée
  • L’outil Sanitizer API playground peut être utilisé pour faire des essais

Association avec les Trusted Types

• L’API Trusted Types offre une couche de sécurité supplémentaire en centralisant le contrôle du parsing et de l’insertion du HTML
  • Lors de l’utilisation de setHTML(), il est facile d’appliquer une politique Trusted Types
  • Une politique stricte peut n’autoriser que setHTML() et bloquer les autres méthodes d’insertion risquées, contribuant ainsi à prévenir de futures régressions XSS

Effets des améliorations de sécurité dans Firefox 148

• Firefox 148 prend en charge à la fois l’API Sanitizer et les Trusted Types, ce qui améliore fortement le niveau de sécurité par défaut
• Les développeurs peuvent prévenir les XSS avec de simples changements de code, sans politiques de sécurité complexes ni équipe sécurité dédiée
• L’introduction de ce standard devrait contribuer à étendre un environnement web plus sûr à l’ensemble des navigateurs

Résumé

• Firefox 148 aide les développeurs web à bloquer facilement les attaques XSS grâce à la méthode setHTML() et à l’API Sanitizer
• Cette fonctionnalité comble les limites du CSP et marque une étape vers un standard web d’insertion HTML sûre par défaut
• Associée aux Trusted Types, elle permet un maintien durable de la sécurité et la prévention des régressions XSS
• En conséquence, Firefox conduit la transition vers un environnement web où la sécurité est le choix par défaut