ウェブブラウザ「Google Chrome」の最新安定版であるバージョン83.0.4103.61がリリースされました。クロスサイトスクリプティング攻撃(XSS)を防止するのに役立つ仕組みが導入されたり、フォームの見た目や操作性が改善されたほか、バーコードを認識するためのAPIが導入されるなどのアップデートが行われています。
◆XSSを防止するための仕組み「Trusted Types」が登場
XSSは、ユーザーからの入力を受け取ってページに表示するサイトなどで、入力を適切に処理しなかったために悪意あるコードがページ上で実行されてしまうというものです。HTMLを生成する場所によってサーバーサイドXSSとクライアントサイドXSSに分類できますが、このうち後者の原因になりうる場所を見つけてくれるのがTrusted Typesです。
Trusted Typesをオンにすることで、innerHTMLのようなXSSの原因になりうる要素に文字を代入しようとした時にエラーを出させる事が可能に。
代わりに、textContentのようにXSSを引き起こさない関数を利用したり、危険な関数への代入前にTrustedなオブジェクトに変換したり、createElementとappendChildを組み合わせたりすることでウェブサイトを安全に保つことができます。
エラーを出してサイトを停止させる代わりにレポートのみ行う機能も実装されています。詳細な仕様や実装方法はweb.devサイト上で確認可能です。
◆フォームの見た目がデバイスによらず一貫性を持つようになり、操作性も改善
下の画像の左側が以前の見た目で、右側が新しい見た目です。
2020-05-19 22:12:01