L’HTML5 augmente la sécurité des navigateurs web

Les développeurs du WebKit, le moteur de rendu notamment utilisé dans Google Chrome et Apple Safari, viennent d’adopter l’attribut norefferer dans leur moteur de rendu. Issu de la spécification HTML5, cet élément permet d’ouvrir une URL vers une page dont les scripts n’auront aucun lien avec la page d’origine. Si cette technique n’est pas applicable à toutes les situations (il est souvent utile de savoir quelle page est à l’origine du lien), elle permettra de supprimer certaines attaques de type cross scripting.

Charlie Reis, développeur chez Google, explique que cette technique, appliquée à Google Chrome, permet également d’ouvrir les liens dans de nouveaux processus. Google Chrome charge chaque nouvelle page dans un processus séparé (sauf si elles font partie d’un même domaine). Toutefois, les onglets ouverts depuis une page, se chargent dans le même processus que celui du document d’origine afin de permettre un partage éventuel d’informations.

« Dans la pratique, les développeurs web rencontrent des cas où il est préférable d’ouvrir les liens dans des processus séparés. À titre d’exemple, il est souhaitable de séparer le client de messagerie web des pages ouvertes à partir des liens affichés dans les messages. Cela est facile à réaliser aujourd’hui, grâce au support de l’attributnoreferrer. »

Gageons que les liens proposés dans les messages stockés par Gmail seront prochainement filtrés afin de profiter de cette technique, qui ne présente ici que des avantages.