HTML spec change: escaping < and > in attributes
a year ago
- #HTML
- #Web Development
- #Security
- HTML规范更新:转义属性中的<和>符号以防止mXSS漏洞
- 变更影响Chrome 138版本(Beta版2025年5月28日,稳定版2025年6月24日)
- 修改了HTML片段的序列化方式(涉及innerHTML、outerHTML、getHTML()等方法)
- 不影响HTML解析或DOM API属性获取(如getAttribute、dataset等)
- 可能破坏通过innerHTML/outerHTML提取属性值的现有代码
- 对比HTML与静态值的端到端测试可能需要更新
- 此项变更通过防止突变型XSS实例提升安全性
- 各浏览器 rollout 时间表:Chromium(2025年6月24日)、Firefox(140版本)、Safari 26 Beta(2025年9月)
- 开放针对此变更引发问题的错误报告渠道