Анонс Cure53 о том, что они убьют XSS как класс уязвимостей похож на правду. DOMPurify теперь встроен в браузеры и тестируется.
Как потестить:
Firefox:
Chrome:
Как думаете, взлетит или будет на уровне CSP (у одного из ста)?
https://wicg.github.io/sanitizer-api/#dom-element-sethtml
// this is safe by default
document.body.setHTML('unsafe HTML here')
Как потестить:
Firefox:
about:config#dom.security.sanitizer.enabledChrome:
chrome://flags#enable-experimental-web-platform-featuresКак думаете, взлетит или будет на уровне CSP (у одного из ста)?
https://wicg.github.io/sanitizer-api/#dom-element-sethtml