Zurück zum Programm
09.11.2022 - 15:15 Uhr

Das Ende von Cross-Site Scripting

Seit fast 25 Jahren ist Cross-Site Scripting (XSS) eine der größten Risiken für Webanwendungen. Eingeschleuster JavaScript-Code sorgt auch 2023 noch regelmäßig für großen Ärger. Doch dabei gibt es inzwischen so viele Möglichkeiten, sich vor dem Angriff zu schützen: Browser-Features, HTTP-Header und spezielle APIs. Der Vortrag geht zunächst der Frage auf den Grund, wieso XSS so gefährlich ist und warum es immer wieder dafür anfällige Webanwendungen gibt. Dann werfen wir einen Blick auf Gegenmittel, inklusive Content Security Policy, Trusted Types API. Außerdem werfen wir einen Blick auf Gegenmaßnahmen in populären SPA-Frameworks. Nach diesem Vortrag gibt es (fast) keine Ausreden mehr, sich XSS einzufangen.

Lernziele

Potenzielle XSS-Probleme erkennen und umschiffen

Niveau

Grundlagen
Christan Wenz
twitter: @chwenz
Christian Wenz ist Webtechnologie-Urgestein der ersten Stunde und Berater und Autor. Als Teilhaber der Arrabiata Solutions GmbH (arrabiata.de) sorgt er für schnellere und sicherere Webanwendungen. Er ist ASP.NET MVP, Hauptautor der offiziellen PHP-Zertifizierung, Contributor mehrerer Open-Source-Projekte und spricht regelmäßig auf Entwicklerkonferenzen rund um den Globus.