Wo wir sind ist vorne.

Wo wir sind ist vorne.

Latenight-Frontend-Talkshow rund um Webdesign und Entwicklung. Es reden sich um <HEAD> und Kragen: HTML-Fundamentalist Moritz Gießmann und JavaScript-Jongleurin Sarah Groß. Dabei geht es bei N+1 Kaltgetränken um die ganze Welt des Frontend-Developments: UX, HTML, CSS, JavaScript, Tooling, Frameworks, uswusf. Füße hoch und Ohren auf für "Wo wir sind ist vorne"!

https://wowirsindistvorne.show

Technology
subscribe
share






support
claim!
report

episode 31: HTML Sanitizer API mit Frederik Braun

Wir haben dich gut unterhalten? Unterstütze uns mit einer Spende ♥

Feedback? Kommentar oder Twitter.

Strings bereinigen mit Web-Standards! Was klingt wie ein Arbeitsauftrag der Wäscherei vom Puff nebenan, könnte bald Einzug in die Browserwelt halten: die HTML Sanitizer API! Sie tritt an um HTML Strings, die mit JavaScript gebaut werden, endlich sicher, und Libraries wie DOMPurify überflüssig zu machen. String rein, sicheres HTML raus. Wie, was, wo und warum erklärt uns Frederik Braun, Staff Security Engineer bei Mozilla und Mitverfasser des W3C Standard-Drafts. Dazu berichten wir noch vom Twitch Leak, und Constantin erklärt und die CSS-Eigenschaft "offset". Eine Runde Sache (die ins Eck musste, oder so).

Begrüßung – [00:00:53]

Retro

  • Moritz: Let’s Encrypt Stammzertifikat abgelaufen – [00:02:42]
  • Constantin: WWSIV beim „IONOS Tech Up!“ – [00:05:11]
    • IONOS Mediathek
    • Folge 28: 17 CSS-Eigenschaften, die wir noch nicht kannten
  • Moritz: Was ist eine Podcast-Folge wert? – [00:06:15]
    • WDR ZeitZeichen
  • Constantin: Internet-Ausdrucker – [00:09:07]
  • Moritz: Twitch-Leak – [00:12:42]

Property der Woche: CSS offset(-path) – [00:16:59]

  • CSSBattle.dev => Constantin battlen
  • offset: MDN / caniuse / Draft
  • offset-anchor: MDN / caniuse
  • offset-distance: MDN / caniuse
  • offset-path: MDN / caniuse
  • offset-position: MDN / caniuse
  • offset-rotate: MDN / caniuse

Vorstellung Frederik – [00:22:26]

Entscheide Dich! – [00:23:19]

  • ZEIT ONLINE Podcast „Alles gesagt?“

Kurzer Ausschweif zu mobilen OS und FirefoxOS – [00:26:57]

  • Folge 27: VSCode & Edge Dev Tools mit Chris Heilmann

Tagesthema: HTML Sanitizer API – [00:31:34]

  • Draft / MDN / caniuse
  • Folge 17: TIL: TTL (Tagged Template Literals)
  1. Wie ist es zur Entwicklung dieses Standards gekommen (XSS) – [00:33:26]
    • OWASP: Cross Site Scripting (XSS)
    • MDN: Same-origin policy
    • DOMPurify
  2. innerHTML vs DOM-Methoden – [00:52:04]
    • html2dom
    • MDN: <template> / <slot>
    • Mario Heiderich
    • Anne van Kesteren
  3. Wie soll die API funktionieren? – [00:56:41]
    • MDN: Sanitizer() / Sanitizer.sanitize()
    • Michał Bentkowski: Write-up of DOMPurify 2.0.0 bypass using mutation XSS
    • Michał Bentkowski: Mutation XSS via namespace confusion – DOMPurify < 2.0.17 bypass
  4. Wie kann man Ideen und Feedback einbringen? – [01:17:10]
    • Firefox Developer Edition
    • HTML Sanitizer API Playground
    • Safe DOM manipulation with the Sanitizer API
    • GitHub repository
  5. Wann ist mit der Implementierung der API zu rechnen? – [01:25:38]
    • prompt(1) to win
    • alert(1) to win
  6. Bedingungen für XSS-Sicherheit mit den Default Options – [01:29:04]
    • Frederik Braun auf Twitter: @freddyb
  7. Wie läuft die Kommunikation untereinander? – [01:45:07]
  8. Wie hoch sind die Hürden, an Standards mitzuarbeiten? – [01:49:02]
  9. Wie läuft die Einigung ab? – [01:57:28]

Wie ist es, bei Mozilla zu arbeiten? – [02:03:14]

  • Mozilla Manifest
  • Spenden an Mozilla
  • Mozilla Foundation

GeilTeil

  • Moritz: how-i-experience-web-today.com – [02:17:56]
  • Frederik: git worktree – [02:20:35]
    • Folge 25: Oh Git oh Gott! mit Michael van Engelshoven

Verabschiedung und Schlusswort – [02:24:39]

fyyd: Podcast Search Engine
share








 October 15, 2021  2h25m