Кавычка(@webpwn). Анонс Cure53 о том, что они убьют XSS как класс уязвимостей похож на правду. DOMPurify теперь встрое

Анонс Cure53 о том, что они убьют XSS как класс уязвимостей похож на правду. DOMPurify теперь встроен в браузеры и тестируется.

// this is safe by default
document.body.setHTML('unsafe HTML here')

Как потестить: Firefox: about:config#dom.security.sanitizer.enabled Chrome: chrome://flags#enable-experimental-web-platform-features Как думаете, взлетит или будет на уровне CSP (у одного из ста)? wicg.github.io/sanitiz…izer-api