Firefox 148引入新的setHTML API替代innerHTML，提供更强的XSS防护机制，可自动清理不安全HTML内容，提升网页安全性。

告别innerHTML，迎接setHTML：Firefox 148强化XSS防护

跨站脚本攻击（XSS）始终是网络世界中最普遍的安全漏洞之一。Mozilla在Firefox 148中率先推出了标准化的Sanitizer API，为开发者提供了一种简单有效的方式来净化不可信的HTML内容。

XSS漏洞通常出现在网站意外允许攻击者通过用户生成内容注入任意HTML或JavaScript时。这种攻击可能导致用户交互被监控、数据被窃取，危害持久且难以防范。近十年来，XSS一直位列三大网络漏洞（CWE-79）之列。

Firefox从2009年主导制定内容安全策略（CSP）标准开始，就深度参与XSS防护方案的研发。虽然CSP能有效限制浏览器加载执行的资源，但由于需要网站进行架构调整和专业安全团队持续维护，其普及程度始终有限。

全新的Sanitizer API旨在填补这一空白，通过标准化方式将恶意HTML转化为无害内容。setHTML()方法直接将净化功能集成到HTML插入过程中，实现默认安全防护。例如： javascript document.body.setHTML(`<h1>你好<img src="x" onclick="alert('XSS')">`); 这段代码会保留

标签，同时移除内含的元素及其onclick属性，输出安全内容： ```html

你好

```

开发者只需将易出错的innerHTML赋值替换为setHTML()，就能以最小代码改动获得更强的XSS防护。如需自定义净化规则，还可以通过配置参数指定需要保留或移除的HTML元素和属性。

结合可信类型（Trusted Types）使用能提供更强大的保护。当setHTML()被广泛采用后，启用可信类型强制策略将变得更加简单，通常无需复杂的自定义策略就能阻止不安全的HTML插入操作。

Firefox 148同时支持Sanitizer API和可信类型标准，为构建更安全的网络体验奠定了基础。采用这些标准后，所有开发者都能在没有专业安全团队支持的情况下有效预防XSS攻击。

（注：原文中的图片说明、作者介绍、新闻订阅等辅助信息已根据要求省略，核心内容完整保留）

总结评论内容：

1. 安全性担忧（3条评论支持）

• 对HTML净化功能持怀疑态度，认为历史上有漏洞且"安全"定义不明确 "This kind of thing always makes me nervous...it's not at all clear which is which from the names" "I'm also rather sceptical of things that 'sanitise' HTML...there's a long history of them having holes"

• 仍允许任意标记注入，可能带来CSS样式等安全问题 "you can still inject

  or
  
  
  ...etc into your username" "this still allows arbitrary markup to the page (even