Google, DOM XSS saldırılarına karşı yeni güvenlik özelliği geliştiriyor

Google, Chrome’un belirli türdeki XSS (Siteler Arası Komut Dosyası) güvenlik açıklarıyla mücadele etmesine yardımcı olacak ve kullanıcıların siber korsanlık girişimlerinden korunmalarını sağlamak üzere tarayıcı düzeyinde başka bir koruma düzeyi ekleyen yeni bir tarayıcı API’si oluşturdu.

Trusted Types adı verilen bu yeni özellik kullanıcıları üç farklı XSS güvenlik açığından biri olan Dome Based XSS’e karşı korumayı hedefliyor. Siber korsanlar DOM Based XSS açığını kullanarak kullanıcıların tarayıcılarına erişiyor ve çerezleri çalıyor, sayfa içeriğini değiştiriyor ve kullanıcıları farklı sitelere yönlendiriyor.

Trusted Types özelliği Web sitesi sahiplerinin bilinen “enjeksiyon noktalarını” kilitlemelerini sağlayarak bu tür saldırıları durduruyor. Web sitesi sahipleri Chrome’un Trusted Types korumasını “Content Security Policy” HTTP yanıt başlığında bulunan bir değeri ayarlayarak aktif hale getirebilecekler.

Trusted Types özelliği etkin hale geldikten sonra DOM enjeksiyon noktaları Chrome’un Trusted Types API’si tarafından kısıtlanacak ve saldırıları önleyecek.