Mozilla Hacksの記事『Goodbye innerHTML, Hello setHTML』を起点に、エンジニア3名がHTMLサニタイズについてを語ります。ブラウザ標準での実装が進む「Sanitizer API」。これによって、長年セキュリティリスクの温床となってきた innerHTML は過去のものになるのか。DOMPurifyなどのライブラリが必要とされた背景(mXSSなど)や、標準化に至るまでの長い議論の道のりを振り返りつつ、フロントエンド開発における「安全なHTML描画」のこれからについてUltra Thinkします。📝 今回のトピック() オープニング() Firefox 148の「setHTML」とSanitizer APIの話題() なぜ未だにXSSは生まれ続けるのか?() Sanitizer APIの歴史とブラウザネイティブの必要性() Mutation XSS(mXSS)の仕組みとブラウザの挙動() DOMPurifyをバイパスするmXSSの実例() これまでのSanitizer API の課題() APIの設計思想と「Unsafe」の命名() Sanitizer API Playgroundを使った動作検証() Sanitizer APIの仕様と今後の展望() まとめ📚 参照記事・Goodbye innerHTML, Hello setHTML: Stronger XSS Protection in Firefox 148https://hacks.mozilla.org/2026/02/goodbye-innerhtml-hello-sethtml-stronger-xss-protection-in-firefox-148/・Still X.S.S. - なぜいまだにXSSは生まれてしまうのか?(GMO Flatt Security Blog)https://blog.flatt.tech/entry/still_xss・Flatt Security XSS Challenge 解答・解説資料https://speakerdeck.com/flatt_security/jie-da-jie-shuo-flatt-security-xss-challenge・HTML Sanitizer API in the browserhttps://discourse.wicg.io/t/html-sanitizer-api-in-the-browser/3054/🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。 YouTubeでも配信中: https://www.youtube.com/watch?v=KCpV8pLVzD8
X: https://x.com/flatt_securityハッシュタグ:#ultrathinking
感想
まだ感想はありません。最初の1件を書きましょう!