谷歌已經(jīng)創(chuàng)建了一個新的瀏覽器API，可幫助Chrome對抗某些類型的跨站點腳本(XSS)漏洞，在瀏覽器級別添加另一級保護，以確保用戶免受黑客攻擊。

此新功能稱為“受信任類型”，是Google過去幾個月一直在使用的瀏覽器API。

該公司的工程師計劃在2018年之間，Chrome 73和Chrome 76之間測試可信類型，然后推出并在今年晚些時候?qū)⑵渥鳛樗蠧hrome用戶的永久安全功能 - 如果一切按計劃進行。

開發(fā)此新安全功能的目的是保護用戶免受三種類型的跨站點腳本缺陷之一- 即基于DOM(或類型0)的XSS。

另外兩種XSS類型是“反映”和“存儲”。這里提供了所有三種XSS類型的詳細分類，供希望了解XSS的讀者閱讀。

基本上，基于DOM的XSS是一個安全漏洞，駐留在網(wǎng)站的源代碼中。黑客利用所謂的注入點在瀏覽器的DOM(頁面源代碼)中插入執(zhí)行惡意操作的代碼 - 比如竊取cookie，操縱頁面內(nèi)容，重定向用戶等等。

受信任的類型將阻止此類攻擊，允許網(wǎng)站所有者鎖定網(wǎng)站代碼中已知的“注入點”，這通常是基于DOM的XSS的根本原因。

網(wǎng)站所有者可以通過在內(nèi)容安全策略(CSP)HTTP響應標頭中設置特定值來啟用Chrome的受信任類型即將到來的保護。

啟用后，Chrome內(nèi)置的可信類型API將限制對DOM注入點的訪問，在XSS漏洞利用代碼利用DOM(頁面源代碼)攻擊用戶之前阻止任何攻擊。

有關網(wǎng)站所有者如何通過CSP標頭啟用受信任類型的教程，以及用戶如何配置Chrome以使用早期版本的受信任類型API，請參閱Google Developers博客。

在同一個教程中，Google信息安全工程團隊的軟件工程師Krzysztof Kotowicz對Trusted Types API的成功非常有信心，他聲稱這個新功能將“幫助消除DOM XSS”。

有關可信類型API的更多信息，請參見Web平臺孵化器社區(qū)組(WICG)官方規(guī)范。

受信任的類型將是Chrome在XSS Auditor之后的第二個XSS保護功能，這是Google在2010年推出的Chrome 4版本。

根據(jù)上個月發(fā)布的Imperva報告，XSS漏洞是2014年，2015年，2016年和2017年最常見的基于網(wǎng)絡的攻擊形式。這是去年第二種最常見的基于網(wǎng)絡的攻擊形式，僅在由于SQL注入攻擊不常見的高峰位置。

公司和安全專家經(jīng)常忽略XSS漏洞，因為它們并不總是對訪問站點的用戶造成直接損害。然而，它們往往是復雜的漏洞利用程序中的第一個踏腳石，可以促進更具破壞性的攻擊。在許多情況下，消除XSS攻擊可以使用戶免受更復雜的攻擊，如果沒有XSS提供的初始立足點，這將是不可能的。

例如，本周，Bootstrap，一個在15%到20%的互聯(lián)網(wǎng)站點之間使用的UI框架受到基于DOM的XSS的影響。對于今天的任何攻擊者來說，這都是一個巨大的攻擊面。