Firefox, XSS 공격 방어를 위한 setHTML API 출시!

Firefox 148에 도입된 setHTML API는 기존 innerHTML 사용 시 발생할 수 있는 XSS(Cross-Site Scripting) 공격을 방지하기 위해 설계되었다. setHTML()은 HTML 삽입(HTML Insertion) 시 자동 sanitization을 수행하여, 개발자가 별도의 보안 로직을 구현하지 않아도 안전한 HTML 삽입을 가능하게 한다. 특히, setHTML()은 기본적으로 안전한 설정을 제공하며, 필요에 따라 개발자가 커스텀 설정(Custom Configuration)을 통해 허용할 HTML 요소와 속성을 정의할 수 있도록 지원한다.

setHTML API는 innerHTML의 대체재로, XSS 취약점(Vulnerability)을 줄이는 데 초점을 맞춘다. 하지만, innerHTML은 여전히 존재하며, setHTML()이 모든 상황에서 완벽한 해결책은 아니다. 성능(Performance) 측면에서 innerHTML이 더 유리할 수 있다는 의견도 존재하며, 개발자는 상황에 따라 두 방법의 트레이드오프(Trade-offs)를 고려해야 한다. 또한, setHTML()의 기본 설정이 모든 사용 사례에 적합하지 않을 수 있으므로, 커스터마이징(Customizing)의 필요성도 제기된다.

커뮤니티에서는 setHTML API의 안전성(Safety)에 대한 의문과 함께, API 사용 시 발생할 수 있는 잠재적인 문제점에 대한 우려가 제기되었다. 특히, HTML sanitization의 완벽성에 대한 의문과 함께, API의 구현 방식(Implementation)에 따라 새로운 취약점이 발생할 수 있다는 지적이 있었다. 또한, API의 브라우저 지원(Browser Support) 부족으로 인해, setHTML API를 널리 사용하기까지 시간이 걸릴 것이라는 의견도 제시되었다.

React의 dangerouslySetInnerHTML은 setHTML API와 유사한 기능을 제공하지만, XSS 공격에 취약할 수 있다. setHTML API는 이러한 위험을 줄이기 위해 설계되었으며, React 개발자는 setHTML API를 사용하여 XSS 공격(XSS Attack)으로부터 애플리케이션을 보호할 수 있다. 하지만, setHTML API가 React의 모든 사용 사례를 대체할 수 있는 것은 아니며, 개발자는 상황에 맞는 적절한 방법(Appropriate Method)을 선택해야 한다.