はてなまとめ - XSS攻撃の温床「innerHTML」はもう終わり、「Firefox 148」に「setHTML()」が導入／入力を自動でサニタイズしてくれる「Sanitizer API」が実装

1: daruyanagi 2026/02/26 08:21

どうせ古いサイトは放置なんだろけど、はよ全ブラウザーに導入されてほしい ( ˘ω˘ )

2: JULY 2026/02/26 08:43

innerHTML は使われすぎだもんなぁ。多くのスクリプト系言語にある eval を乱用するようなもの。

3: nguyen-oi 2026/02/26 08:56

innerHTMLにさよならバイバイか。長かったな...。これでセキュリティ事故が少しは減るんだろうか。ようやく標準化されて安心だわ

4: yto 2026/02/26 09:09

浸透待ち

5: punychan 2026/02/26 09:19

メディアの記事なら「JavaScript」の単語を一つでも冒頭に入れようぜ。対象読者にはわかるだろうけどさ

6: Nilfs 2026/02/26 09:43

色々古いAPIなくなってるんだろうなー、知識がだいぶ止まってるからそのうちAIにまとめて聞かないとな

7: arjen__robben 2026/02/26 09:43

むしろ対象読者以外はJavaScriptなんて言われても分からんから不要なんよ

8: masaru_al 2026/02/26 09:47

innerHTML のような Web API は通常 JavaScript の中で使われるけれど、厳密には JavaScript の言語仕様ではないからね

9: xlc 2026/02/26 09:51

「サニタイズ」という用語を使っていたら、その人は問題を正しく把握していない可能性が高い。入力を「無毒化」するのではなく、出力をエスケープするのが正しい。

10: Fushihara 2026/02/26 10:12

そのうちCSPでinnerHTMLを禁止する事が出来るようになるんだろうな。デフォルト禁止はbroke the webなので勘弁してもろて

11: cinefuk 2026/02/26 10:25

"「Firefox 148」で導入された「Sanitizer API」は、「innerHTML」に代わる仕組みとして「setHTML()」を提供する。「setHTML()」は書き込み専用のメソッドで、危険なスクリプトを含むHTMLコードを渡しても、自動で“無毒化”を行う。"

12: kabuquery 2026/02/26 10:32

xssはもうとっくに絶滅したんでは

13: ustam 2026/02/26 10:39

こういうのは当分置き換え無理なんだろうなあ…。フレームワークがよしなに置き換えてくれるのを待つだけかな？

14: manaten 2026/02/26 10:43

今日日XSS起こすのはサーバーサイドにしろクライアントサイドにしろフレームワークを適切に使ってないが所以だろうから、XSSの発生率にはそんなに影響しなそうな気もするw

15: fusionstar 2026/02/26 11:27

jQuery は対応するのかな。

16: s_hiiragi 2026/02/26 11:36

sanitizeは無害化って書く方が多そうな気がする

17: nilab 2026/02/26 11:40

最近はライブラリやフレームワークで吸収しているのかと。「「innerHTML」プロパティには無毒化処理を実施する機能がなく、プログラマーが自分で処理を書く必要があった。そのため、無毒化処理にどうしても漏れが生じ」