HTML Sanitizer API mit Frederik Braun

Begrüßung – [00:00:53]

Retro

• Moritz: Let’s Encrypt Stammzertifikat abgelaufen – [00:02:42]
• Constantin: WWSIV beim „IONOS Tech Up!“ – [00:05:11]
  • IONOS Mediathek
  • Folge 28: 17 CSS-Eigenschaften, die wir noch nicht kannten
• Moritz: Was ist eine Podcast-Folge wert? – [00:06:15]
  • WDR ZeitZeichen
• Constantin: Internet-Ausdrucker – [00:09:07]
• Moritz: Twitch-Leak – [00:12:42]

Property der Woche: CSS offset(-path) – [00:16:59]

• CSSBattle.dev => Constantin battlen
• offset: MDN / caniuse / Draft
• offset-anchor: MDN / caniuse
• offset-distance: MDN / caniuse
• offset-path: MDN / caniuse
• offset-position: MDN / caniuse
• offset-rotate: MDN / caniuse

Vorstellung Frederik – [00:22:26]

Entscheide Dich! – [00:23:19]

• ZEIT ONLINE Podcast „Alles gesagt?“

Kurzer Ausschweif zu mobilen OS und FirefoxOS – [00:26:57]

• Folge 27: VSCode & Edge Dev Tools mit Chris Heilmann

Tagesthema: HTML Sanitizer API – [00:31:34]

• Draft / MDN / caniuse
• Folge 17: TIL: TTL (Tagged Template Literals)

1. Wie ist es zur Entwicklung dieses Standards gekommen (XSS) – [00:33:26]
   • OWASP: Cross Site Scripting (XSS)
   • MDN: Same-origin policy
   • DOMPurify
2. innerHTML vs DOM-Methoden – [00:52:04]
   • html2dom
   • MDN: <template> / <slot>
   • Mario Heiderich
   • Anne van Kesteren
3. Wie soll die API funktionieren? – [00:56:41]
   • MDN: Sanitizer() / Sanitizer.sanitize()
   • Michał Bentkowski: Write-up of DOMPurify 2.0.0 bypass using mutation XSS
   • Michał Bentkowski: Mutation XSS via namespace confusion – DOMPurify < 2.0.17 bypass
4. Wie kann man Ideen und Feedback einbringen? – [01:17:10]
   • Firefox Developer Edition
   • HTML Sanitizer API Playground
   • Safe DOM manipulation with the Sanitizer API
   • GitHub repository
5. Wann ist mit der Implementierung der API zu rechnen? – [01:25:38]
   • prompt(1) to win
   • alert(1) to win
6. Bedingungen für XSS-Sicherheit mit den Default Options – [01:29:04]
   • Frederik Braun auf Twitter: @freddyb
7. Wie läuft die Kommunikation untereinander? – [01:45:07]
8. Wie hoch sind die Hürden, an Standards mitzuarbeiten? – [01:49:02]
9. Wie läuft die Einigung ab? – [01:57:28]

Wie ist es, bei Mozilla zu arbeiten? – [02:03:14]

• Mozilla Manifest
• Spenden an Mozilla
• Mozilla Foundation

GeilTeil

• Moritz: how-i-experience-web-today.com – [02:17:56]
• Frederik: git worktree – [02:20:35]
  • Folge 25: Oh Git oh Gott! mit Michael van Engelshoven

Verabschiedung und Schlusswort – [02:24:39]