Az előadásról

Az XSS, azaz a cross site scripting napjaink egyik legelterjedtebb biztonsági problémája, amit az olyan bugvadász cégek statisztikái is megerősítenek, mint például a Hackerone. Habár a védelmünk jelentősen erősödött az elmúlt években, ez a támadási vektor még mindig velünk van. Ahogy elmozdulunk a szerver által renderelt oldalakról az ún. SPA-k (Single Page Application) irányába, az XSS támadások egy új fajtájával vagyunk kénytelenek megismerkedni: a DOM XSS-sel. Előadásomban megosztom a Trusted Types, egy új, böngészőalapú védelmi mechanizmus létrejöttének történetét, és az Angular kódbázisunkba való implementálásával kapcsolatos tapasztalatainkat. A Google kutatása szerint a cégnél "a Trusted Types-re átmigrált alkalmazások körében nulla darab DOM XSS-t figyelhető meg." Szép eredmény! De vajon megéri a fáradságot?