Mozilla改變立場，相信Trusted Types防範Web-based跨站攻擊

Mozilla近日表示，相信Trusted Types安全技術可以防範DOM-based跨站攻擊，強化網頁端的安全防護，但認為還不到實作於Firefox的時候。

Mozilla成員指出，經過徹底的規格檢視後，Mozilla相信信任類型在防範文件物件模型（DOM-based）跨站腳本程式（Cross Site Scripting，XSS）攻擊的能力，過往在保護知名網站有優異成果。

DOM-based XSS是攻擊者在URL中輸入DOM物件，利用JavaScript產生完整網頁，卻沒有檢查輸入資料的漏洞，讓瀏覽器瀏覽網頁的過程，帶入惡意程式碼。網站及瀏覽器支援信任類型（Trusted Types）可以防範這類攻擊。Google在2020年的Chrome 83已經加入支援，微軟Edge、Opera也已加入。但是Mozilla Firefox及蘋果Safari則仍未支援。

雖然Mozilla對這項技術開始認同，但在將之實作到Firefox推向所有用戶之前，Mozilla對Trusted Types仍然有些疑慮。其中包括是否會影響瀏覽器的XSS過濾器，以及其配置方法。和Google小組的討論讓他們對該技術在Web上的有效性及用途仍有「不清楚」的地方。他們也發現Chrome實作有某些功能是超出標準化的範疇，他們相信可能也還會有變動。

《The Register》分析，在Chrome支援Trusted Types後，有助XSS攻擊的減少，報導引述專家人士說，相信最後主要瀏覽器業者最後都會支援這項安全技術。