Google voorziet Chrome van extra bescherming tegen cross-site scripting

In dit artikel:

Google heeft in Chrome een beveiligingsfunctie toegevoegd tegen cross-site scripting (XSS): de HTML Sanitizer API, die eerder door Mozilla in Firefox werd ingebouwd. XSS stelt aanvallers in staat malafide scripts in webpagina's of webapplicaties te injecteren en zo bijvoorbeeld cookies of sessietokens te stelen; MITRE noemde XSS in december de gevaarlijkste kwetsbaarheid van 2025.

De API geeft ontwikkelaars een standaardmiddel om onbetrouwbare HTML te 'sanitizen' voordat die in het DOM terechtkomt, door onveilige elementen en attributen te verwijderen en zo uitvoer van kwaadaardige code te voorkomen. Bescherming treedt echter alleen in werking wanneer websitebouwers de API gebruiken; Chrome rolt de nieuwe versie (146) automatisch uit naar de meeste systemen. Voor extra veiligheid blijven ook goede ontwikkelpraktijken (input‑validatie, Content Security Policy) belangrijk.