Firefox 148 führt Sanitizer-API ein – neuer Standard gegen XSS-Angriffe

Cross-Site-Scripting – kurz XSS – zählt seit Jahren zu den verbreitetsten Sicherheitslücken im Web. Dabei gelingt es Angreifern, über nutzergenerierte Inhalte beliebigen HTML- oder JavaScript-Code in eine Website einzuschleusen, um Nutzerdaten abzugreifen oder Interaktionen zu manipulieren. In der Verwundbarkeits-Klassifikation CWE-79 belegt XSS seit fast einem Jahrzehnt einen Platz unter den drei häufigsten Schwachstellen.

Bisherige Schutzmaßnahmen wie die Content Security Policy (CSP), an deren Standardisierung Mozilla bereits 2009 federführend beteiligt war, stoßen in der Praxis an Grenzen. Die Implementierung erfordert teils umfangreiche Anpassungen bestehender Architekturen sowie kontinuierliche Pflege durch Sicherheitsspezialisten – Aufwand, den viele Webprojekte schlicht nicht leisten können.

Laut Hacks Mozilla setzt die neue Sanitizer-API an einem anderen Punkt an: Sie bietet eine standardisierte Methode, um potenziell schadhaften HTML-Code zu neutralisieren, bevor er in das Document Object Model (DOM) eingebettet wird. Kern der API ist die neue Methode setHTML(), die als direkter Ersatz für die etablierte – aber fehleranfällige – innerHTML-Zuweisung konzipiert wurde. Die Bereinigung ist dabei nicht nachgelagert, sondern fest in den Einfügevorgang integriert.

Ein Beispiel verdeutlicht das Prinzip: Ein <img>-Element mit einem eingebetteten onclick-Handler wird von setHTML() automatisch entfernt, während reguläre HTML-Elemente wie <h1> erhalten bleiben. Das Ergebnis ist bereinigtes, sicheres Markup – ohne zusätzlichen Aufwand für den Entwickler.

Wer die Standardkonfiguration anpassen möchte, kann über eine benutzerdefinierte Konfiguration festlegen, welche Elemente und Attribute erlaubt oder gefiltert werden sollen. Für erste Tests steht ein öffentlicher Sanitizer API Playground bereit.

Besonders in Kombination mit Trusted Types – ebenfalls in Firefox 148 enthalten – entfaltet die API ihr Potenzial: Trusted Types zentralisieren die Kontrolle über das HTML-Parsing, und eine entsprechende Richtlinie kann setHTML() ausdrücklich zulassen, während andere unsichere Einfügemethoden blockiert werden. So lassen sich künftige XSS-Regressionen strukturell verhindern.

Mozilla sieht Firefox 148 als ersten Browser, der die standardisierte Sanitizer-API umsetzt, und erwartet laut Hacks Mozilla, dass andere Hersteller in Kürze folgen werden. Für Entwickler bedeutet die API einen niedrigschwelligen Einstieg in verbesserte Sicherheitspraktiken – ohne spezialisiertes Sicherheitsteam und ohne tiefgreifende Umstrukturierungen bestehenden Codes.

Weiterlesen