Анонс Cure53 о том, что они убьют XSS как класс уязвимостей похож на правду. DOMPurify теперь встроен в браузеры и тестируется.
// this is safe by default
document.body.setHTML('unsafe HTML here')
Как потестить:
Firefox: about:config#dom.security.sanitizer.enabled
Chrome: chrome://flags#enable-experimental-web-platform-features
Как думаете, взлетит или будет на уровне CSP (у одного из ста)?
https://wicg.github.io/sanitizer-api/#dom-element-sethtml
