Google致力于新的Chrome安全功能 以消除DOM XSS

谷歌已经创建了一个新的浏览器API，可帮助Chrome对抗某些类型的跨站点脚本(XSS)漏洞，在浏览器级别添加另一级保护，以确保用户免受黑客攻击。

此新功能称为“受信任类型”，是Google过去几个月一直在使用的浏览器API。

该公司的工程师计划在2018年之间，Chrome 73和Chrome 76之间测试可信类型，然后推出并在今年晚些时候将其作为所有Chrome用户的永久安全功能 - 如果一切按计划进行。

开发此新安全功能的目的是保护用户免受三种类型的跨站点脚本缺陷之一- 即基于DOM(或类型0)的XSS。

另外两种XSS类型是“反映”和“存储”。这里提供了所有三种XSS类型的详细分类，供希望了解XSS的读者阅读。

基本上，基于DOM的XSS是一个安全漏洞，驻留在网站的源代码中。黑客利用所谓的注入点在浏览器的DOM(页面源代码)中插入执行恶意操作的代码 - 比如窃取cookie，操纵页面内容，重定向用户等等。

受信任的类型将阻止此类攻击，允许网站所有者锁定网站代码中已知的“注入点”，这通常是基于DOM的XSS的根本原因。

网站所有者可以通过在内容安全策略(CSP)HTTP响应标头中设置特定值来启用Chrome的受信任类型即将到来的保护。

启用后，Chrome内置的可信类型API将限制对DOM注入点的访问，在XSS漏洞利用代码利用DOM(页面源代码)攻击用户之前阻止任何攻击。

有关网站所有者如何通过CSP标头启用受信任类型的教程，以及用户如何配置Chrome以使用早期版本的受信任类型API，请参阅Google Developers博客。

在同一个教程中，Google信息安全工程团队的软件工程师Krzysztof Kotowicz对Trusted Types API的成功非常有信心，他声称这个新功能将“帮助消除DOM XSS”。

有关可信类型API的更多信息，请参见Web平台孵化器社区组(WICG)官方规范。

受信任的类型将是Chrome在XSS Auditor之后的第二个XSS保护功能，这是Google在2010年推出的Chrome 4版本。

根据上个月发布的Imperva报告，XSS漏洞是2014年，2015年，2016年和2017年最常见的基于网络的攻击形式。这是去年第二种最常见的基于网络的攻击形式，仅在由于SQL注入攻击不常见的高峰位置。

公司和安全专家经常忽略XSS漏洞，因为它们并不总是对访问站点的用户造成直接损害。然而，它们往往是复杂的漏洞利用程序中的第一个踏脚石，可以促进更具破坏性的攻击。在许多情况下，消除XSS攻击可以使用户免受更复杂的攻击，如果没有XSS提供的初始立足点，这将是不可能的。

例如，本周，Bootstrap，一个在15%到20%的互联网站点之间使用的UI框架受到基于DOM的XSS的影响。对于今天的任何攻击者来说，这都是一个巨大的攻击面。