Become a Creator today!Start creating today - Share your story with the world!
Start for free
00:00:00
00:00:01
Play next
Revision 697: Die Sanitizer API, mit Frederik Braun image

Revision 697: Die Sanitizer API, mit Frederik Braun

E697 · Working Draft
Avatar
0 Plays1 day ago

In dieser Folge sprechen wir mit Frederik Braun (Mastodon) aus dem Firefox-Security-Team bei Mozilla über den langen Weg der Sanitizer API: Von ersten Prototypen vor über fünf Jahren bis zum geplanten Shipping in Firefox und Chrome im Februar 2026.

Schaunotizen

[00:01:08] Die Sanitizer API Einleitend klären wir, warum Cross-Site-Scripting (XSS) auch 2026 noch eines der größten Web-Security-Probleme ist, weshalb bestehende Lösungen wie DOMPurify, Content Security Policy oder Trusted Types zwar helfen, aber kaum breit eingesetzt werden – und dass die Sanitizer API einen neuen, deutlich praxisnäheren Ansatz verfolgt.Die Sanitizer API ist ein neuer Web-Standard, mit dem sich unsicheres HTML direkt beim Einfügen in den DOM bereinigen lässt – ohne String-Roundtrips und ohne zusätzliche Bibliotheken. Statt Element.innerHTML = html wird künftig Element.setHTML(html) verwendet. Der Browser übernimmt Parsing, Bereinigung und Einfügen in einem Schritt und verhindert zuverlässig Cross-Site-Scripting, DOM-Clobbering und viele Varianten von Mutated-XSS.

Links

Revision 447: XSS und die HTML Sanitizer API Die eingangs erwähnte, mittlerweile fünfeinhalb Jahre alte Folge mit Frederik, in der XSS und die ursprüngliche Idee der Sanitizer API bereits ausführlich besprochen wurden. Revision 452: CORS, CORP, (C)ORB, COOP und COEP Eine weitere Folge mit Security-Fokus, nämlich zu diversen sicherheitsrelevanten HTTP-Headern, ebenfalls mit Frederik. Revision 514: ASTs, Linter und Security mit Frederik Braun In dieser Revision reden sprechen wir mit Frederik über Abstract Syntax Trees, Lexer und Parser. Und natürlich Security! DOM Clobbering Angriffstechnik, bei der HTML-IDs oder Names bestehende JavaScript-Objekte überschreiben und so Logikfehler oder Sicherheitslücken auslösen. Höre dazu auch Revision 202: Sicherheitslücken – DOM Clobbering, XSS via CSS, ES6 Fallen. Interop-Projekt Browser-übergreifende Initiative zur Angleichung von Web-Plattform-Features, potenziell relevant für Trusted Types in zukünftigen Iterationen.
Recommended
On Tour @ #t3con – Incluthon: Inklusion testen statt abhaken, mit Stefan Barac image
On Tour @ #t3con – Incluthon: Inklusion testen statt abhaken, mit Stefan Barac
Working Draft
00:18:35·8 days ago
Revision 696: Was macht eigentlich… Anselm Hannemann? image
Revision 696: Was macht eigentlich… Anselm Hannemann?
E696 · Working Draft
01:14:04·15 days ago
On Tour @ #t3con – Frontend State of TYPO3 mit Thomas Maroschik image
On Tour @ #t3con – Frontend State of TYPO3 mit Thomas Maroschik
Working Draft
00:22:08·22 days ago
Outtakes 2025 image
Outtakes 2025
Working Draft
00:07:58·28 days ago
Revision 695: Browser-News-Roundup image
Revision 695: Browser-News-Roundup
E695 · Working Draft
01:31:03·29 days ago
Revision 694: React- & TypeScript-Glücksrad, mit Hans-Christian Otto image
Revision 694: React- & TypeScript-Glücksrad, mit Hans-Christian Otto
E694 · Working Draft
01:43:35·1 month ago
Revision 693: HTML Glücksrad, mit Jens Oliver Meiert image
Revision 693: HTML Glücksrad, mit Jens Oliver Meiert
E693 · Working Draft
01:02:53·1 month ago
Revision 692: javascript:void(0), mit Manuel Matuzović image
Revision 692: javascript:void(0), mit Manuel Matuzović
E692 · Working Draft
01:04:13·1 month ago
Revision 691: Digitale Nachhaltigkeit – Warum das Web grüner werden muss, mit Dr. Torsten Beyer image
Revision 691: Digitale Nachhaltigkeit – Warum das Web grüner werden muss, mit Dr. Torsten Beyer
E691 · Working Draft
01:14:45·1 month ago
Revision 690: AI Frontend Generatoren image
Revision 690: AI Frontend Generatoren
E690 · Working Draft
01:25:45·2 months ago
Revision 689: React – Heilsbringer oder Höllenmaschine? image
Revision 689: React – Heilsbringer oder Höllenmaschine?
E689 · Working Draft
01:48:50·2 months ago
Revision 688: Browser-Engine-Diversity image
Revision 688: Browser-Engine-Diversity
E688 · Working Draft
01:17:31·2 months ago
Revision 687: Valides HTML, mehr als Liebhaberei? image
Revision 687: Valides HTML, mehr als Liebhaberei?
E687 · Working Draft
01:01:27·2 months ago
Revision 686: Neues in den Browsern image
Revision 686: Neues in den Browsern
E686 · Working Draft
01:50:37·3 months ago
Revision 685: TypeScript 5.9 image
Revision 685: TypeScript 5.9
E685 · Working Draft
01:06:12·3 months ago
Revision 684: Ecosystem Performance (e18e) image
Revision 684: Ecosystem Performance (e18e)
E684 · Working Draft
01:34:40·3 months ago
Revision 683: ARIA-Glücksrad image
Revision 683: ARIA-Glücksrad
E683 · Working Draft
01:19:00·3 months ago
Revision 682: Nuxt 4 und die Akquisition von NuxtLabs image
Revision 682: Nuxt 4 und die Akquisition von NuxtLabs
E682 · Working Draft
01:15:12·3 months ago
Revision 681: JSCraftCamp – Blaupause für Community-Events image
Revision 681: JSCraftCamp – Blaupause für Community-Events
E681 · Working Draft
01:18:09·4 months ago
Revision 680: TypeScript goes native! image
Revision 680: TypeScript goes native!
E680 · Working Draft
00:47:12·4 months ago