Mozilla Hacksの記事『Goodbye innerHTML, Hello setHTML』を起点に、エンジニア3名がHTMLサニタイズについてを語ります。ブラウザ標準での実装が進む「Sanitizer API」。これによって、長年セキュリティリスクの温床となってきた innerHTML は過去のものになるのか。DOMPurifyなどのライブラリが必要とされた背景(mXSSなど)や、標準化に至るまでの長い議論の道のりを振り返りつつ、フロントエンド開発における「安全なHTML描画」のこれからについてUltra Thinkします。📝 今回のトピック(00:00) オープニング(00:34) Firefox 148の「setHTML」とSanitizer APIの話題(02:35) なぜ未だにXSSは生まれ続けるのか?(06:27) Sanitizer APIの歴史とブラウザネイティブの必要性(10:44) Mutation XSS(mXSS)の仕組みとブラウザの挙動(18:33) DOMPurifyをバイパスするmXSSの実例(20:31) これまでのSanitizer API の課題(25:50) APIの設計思想と「Unsafe」の命名(27:43) Sanitizer API Playgroundを使った動作検証(30:00) Sanitizer APIの仕様と今後の展望(32:28) まとめ📚 参照記事・Goodbye innerHTML, Hello setHTML: Stronger XSS Protection in Firefox 148https://hacks.mozilla.org/2026/02/goodbye-innerhtml-hello-sethtml-stronger-xss-protection-in-firefox-148/・Still X.S.S. - なぜいまだにXSSは生まれてしまうのか?(GMO Flatt Security Blog)https://blog.flatt.tech/entry/still_xss・Flatt Security XSS Challenge 解答・解説資料https://speakerdeck.com/flatt_security/jie-da-jie-shuo-flatt-security-xss-challenge・HTML Sanitizer API in the browserhttps://discourse.wicg.io/t/html-sanitizer-api-in-the-browser/3054/🤔 Ultra Thinking とは「エンジニアの背中を預かる」GMO Flatt Securityのエンジニアが、プロダクトセキュリティに関する最新トピックや、Takumiのサービス開発についてワイワイ話すビデオポッドキャストです。 YouTubeでも配信中: https://www.youtube.com/watch?v=KCpV8pLVzD8
X: https://x.com/flatt_securityハッシュタグ:#ultrathinking
#セキュリティ #フロントエンド #XSS #Firefox #JavaScript #脆弱性
