L’HTML5 augmente la sécurité des navigateurs web (épisode 2)

Après l’attribut norefferer, c’est au tour de l’attribut sandbox de l’HTML5 d’être adopté au sein d’un navigateur web ; Google Chrome 5.0.

L’HTML5 fournit de multiples avancées qui permettent d’augmenter le niveau de sécurité des sites et applications web. En décembre dernier, nous avions signalé que le WebKit était en mesure d’utiliser l’attribut norefferer, qui permet de pointer vers une page dont les scripts n’ont pas de lien avec la page d’origine.

Charlie Reis, développeur chez Google, signalait également que cette technique, appliquée à Google Chrome 4.0, permettait d’ouvrir les liens dans de nouveaux processus (si les pages concernées font partie d’un domaine différent), ce qui augmentait encore le niveau de sécurité de l’ensemble.

Aujourd’hui, Adam Barth, un autre développeur de la compagnie, nous apprend que Google Chrome 5.0 supporte un nouvel attribut de l’HTML5 qui permettra d’augmenter le niveau de sécurité des pages. Lorsque vous utilisez un iframe (qui permet d’insérer le code en provenance d’une autre page web au sein d’un bloc de l’une de vos pages), vous pourrez dorénavant appliquer l’attribut sandbox.

Ce dernier permettra, à la demande, d’empêcher l’exécution des scripts, de rendre inactifs les formulaires ou encore de vérifier si les deux pages appartiennent au même domaine. En l’utilisant, vous pourrez donc contrôler finement ce que peut et ne peut pas faire le code inséré dans une page web. Bien évidemment, cet élément sera sans effet sur les navigateurs web ne le supportant pas.