GitHub - google/tsecYou signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Adding Trusted Types to Google Workspace
Join the official community for Google Workspace administrators In the Google Cloud Community, connect with Googlers and other Google Workspace admins like yourself. Participate in product discussions, check out the Community Articles, and learn tips and tricks that will make your work and life easier. Be the first to know what's happening with Google Workspace. ______________ Learn about more Goo
Trusted Typesの概念と背景
今回はTrusted Typesに対する個人の見解を書いてみます。 Trusted Typesはブラウザが文字列を文字列以外の型として扱うSinkに対して、開発者に型の変換を強制するセキュリティ機能です。Trusted TypesによりDOM-based XSSを原理的に減らし、DOM-based XSSに対するセキュリティレビューを簡潔にすることが出来ます。 安全でないデフォルト近頃のWeb開発ではTypeScriptがよく使われるようになりました。これは型を明示することにより、エラーを事前に防げるからです。 セキュリティでも同じことが言えます。そもそもelement.innerHTMLにStringを代入出来ること自体が間違っているのです。innerHTMLはHTMLを代入する為のものであり、Stringを代入してもHTMLとして型の変換がされてしまうからです(i.e. re-pars
Eliminating XSS from WebUI with Trusted Types
Posted Mar 26, 2021 2021-03-26T09:30:00-07:00 by Jun Kokatsu After the research on Site Isolation, it became clear that the most common problem with extensions is calling chrome.tabs.create with a URL received from a content script message. While such a bug can be used to steal local files, it can also open up an interesting attack surface, which is the navigation to WebUI. In this blog post, we w
DOM Based XSS対策のChromeの新機能「Trusted Types」を試してみた - 生存報告
先日、Goole Chromeの新機能としてTrusted Typesという機能がアナウンスされました。これは、DOM Based XSSを防ぐために実装された機能です。 https://developers.google.com/web/updates/2019/02/trusted-types 本エントリでは、Trusted Types実際に試して、使い勝手や効果のほどを見てみようと思います。 DOM Based XSS 「DOM Based XSSとは」的な説明は割愛。DOMを更新するときに発生するXSSです。 上のリンクやIPA、OWASPのページなどを見てください。ここではIPAのレポートを紹介しておきます。 https://www.ipa.go.jp/files/000024729.pdf DOM Based XSSの例 DOM Based XSSでalertを上げてみます。以
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - shhnjk/cursed_types: List of Trusted Types bypasses
GitHub - google/safevalues
DOM lib: Add support for Trusted Types API · Issue #30024 · microsoft/TypeScript
Follow-up to initial Trusted Types support by gaearon · Pull Request #16795 · facebook/react
Add trusted types to react on client side by Siegrift · Pull Request #16157 · facebook/react
DOMのXSSを防ぐTrusted TypesとAngularのセキュリティ機構