Wo wir sind ist vorne. artwork

HTML Sanitizer API mit Frederik Braun

Wo wir sind ist vorne.

German - October 15, 2021 06:40 - 2 hours - 134 MB
Technology Homepage Download Google Podcasts Overcast Castro Pocket Casts RSS feed
Previous Episode: Retro-Speck-Tiefe
Next Episode: 10 merkwürdig unbekannte CSS-Eigenschaften (und zwei Frameworks)

Strings bereinigen mit Web-Standards! Was klingt wie ein Arbeitsauftrag der Wäscherei vom Puff nebenan, könnte bald Einzug in die Browserwelt halten: die HTML Sanitizer API! Sie tritt an um HTML Strings, die mit JavaScript gebaut werden, endlich sicher, und Libraries wie DOMPurify überflüssig zu machen. String rein, sicheres HTML raus. Wie, was, wo und warum erklärt uns Frederik Braun, Staff Security Engineer bei Mozilla und Mitverfasser des W3C Standard-Drafts. Dazu berichten wir noch vom Twitch Leak, und Constantin erklärt und die CSS-Eigenschaft "offset". Eine Runde Sache (die ins Eck musste, oder so).

Wir haben dich gut unterhalten? Unterstütze uns mit einer Spende ♥


Feedback? Kommentar oder Mastodon.


Strings bereinigen mit Web-Standards! Was klingt wie ein Arbeitsauftrag der Wäscherei vom Puff nebenan, könnte bald Einzug in die Browserwelt halten: die HTML Sanitizer API! Sie tritt an um HTML Strings, die mit JavaScript gebaut werden, endlich sicher, und Libraries wie DOMPurify überflüssig zu machen. String rein, sicheres HTML raus. Wie, was, wo und warum erklärt uns Frederik Braun, Staff Security Engineer bei Mozilla und Mitverfasser des W3C Standard-Drafts. Dazu berichten wir noch vom Twitch Leak, und Constantin erklärt und die CSS-Eigenschaft "offset". Eine Runde Sache (die ins Eck musste, oder so).

Begrüßung – [00:00:53]

Retro

Moritz: Let’s Encrypt Stammzertifikat abgelaufen – [00:02:42]

Constantin: WWSIV beim „IONOS Tech Up!“ – [00:05:11]

IONOS Mediathek

Folge 28: 17 CSS-Eigenschaften, die wir noch nicht kannten

Moritz: Was ist eine Podcast-Folge wert? – [00:06:15]

WDR ZeitZeichen

Constantin: Internet-Ausdrucker – [00:09:07]

Moritz: Twitch-Leak – [00:12:42]

Property der Woche: CSS offset(-path) – [00:16:59]

CSSBattle.dev => Constantin battlen

offset: MDN / caniuse / Draft

offset-anchor: MDN / caniuse

offset-distance: MDN / caniuse

offset-path: MDN / caniuse

offset-position: MDN / caniuse

offset-rotate: MDN / caniuse

Vorstellung Frederik – [00:22:26]

Entscheide Dich! – [00:23:19]

ZEIT ONLINE Podcast „Alles gesagt?“

Kurzer Ausschweif zu mobilen OS und FirefoxOS – [00:26:57]

Folge 27: VSCode & Edge Dev Tools mit Chris Heilmann

Tagesthema: HTML Sanitizer API – [00:31:34]

Draft / MDN / caniuse

Folge 17: TIL: TTL (Tagged Template Literals)

Wie ist es zur Entwicklung dieses Standards gekommen (XSS) – [00:33:26]

OWASP: Cross Site Scripting (XSS)

MDN: Same-origin policy

DOMPurify

innerHTML vs DOM-Methoden – [00:52:04]

html2dom

MDN: <template> / <slot>

Mario Heiderich

Anne van Kesteren

Wie soll die API funktionieren? – [00:56:41]

MDN: Sanitizer() / Sanitizer.sanitize()

Michał Bentkowski: Write-up of DOMPurify 2.0.0 bypass using mutation XSS

Michał Bentkowski: Mutation XSS via namespace confusion – DOMPurify < 2.0.17 bypass

Wie kann man Ideen und Feedback einbringen? – [01:17:10]

Firefox Developer Edition

HTML Sanitizer API Playground

Safe DOM manipulation with the Sanitizer API

GitHub repository

Wann ist mit der Implementierung der API zu rechnen? – [01:25:38]

prompt(1) to win

alert(1) to win

Bedingungen für XSS-Sicherheit mit den Default Options – [01:29:04]

Frederik Braun auf Twitter: @freddyb

Wie läuft die Kommunikation untereinander? – [01:45:07]

Wie hoch sind die Hürden, an Standards mitzuarbeiten? – [01:49:02]

Wie läuft die Einigung ab? – [01:57:28]

Wie ist es, bei Mozilla zu arbeiten? – [02:03:14]

Mozilla Manifest

Spenden an Mozilla

Mozilla Foundation

GeilTeil

Moritz: how-i-experience-web-today.com – [02:17:56]

Frederik: git worktree – [02:20:35]

Folge 25: Oh Git oh Gott! mit Michael van Engelshoven

Verabschiedung und Schlusswort – [02:24:39]

Twitter Mentions