Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Webframework Astro 5.9 wappnet sich gegen XSS-Attacken

IT News

Dienstag, 10. Juni 2025

46 Aufrufe

Das JavaScript-Webframework Astro legt in Version 5.9 den Fokus auf Security und erlaubt die experimentelle Nutzung der Content Security Policy (CSP). Zudem hat das Astro-Team eine Helper-Funktion für das Rendern von Markdown-Inhalten hinzugefügt.

Das neue Release lässt sich mittels automatisiertem CLI-Tool @astrojs/upgrade oder manuell per Paketmanager installieren. Hierbei ist die empfohlene Methode npx (npx @astrojs/upgrade).

Wie das Astro-Team ausführt, zählen Cross-Site-Scripting-Angriffe (XSS) zu den häufigsten Attacken auf Websites. Standardmäßig können Webseiten beliebige Skripte und Styles von einer beliebigen Quelle laden. Die beste Abwehr gegen XSS sei es demnach, das einzuschränken. Hier kommt die Content Security Policy ins Spiel, indem sie die Ziele auf eine Liste vertrauenswürdiger Quellen einschränkt.

Astro 5.9 bringt für CSP experimentellen Support out-of-the-box mit. CSP lässt sich dadurch in allen Render-Modi (statische Seiten, dynamische Seiten und Single-Page-Anwendungen) einsetzen, wobei eine hohe Flexibilität und Typsicherheit gegeben sein sollen. Der Workaround unsafe-inline soll hierdurch überflüssig werden.

Um CSP in Astro zu nutzen, ist es nötig, das experimentelle Flag zu aktivieren:

import { defineConfig } from "astro/config" export default defineConfig({ experimental: { csp: true } })

Entwicklerinnen und Entwickler, die zum Beispiel via Middleware bereits den Content-Security-Policy-Header verwenden, können das weiterhin tun. Der Browser wird dann die strengere Richtlinie des Headers und des <meta>-Elements verwenden. Letzteres lässt sich zudem konfigurieren, um beispielsweise den Standard-Algorithmus zu ändern oder zusätzliche Direktiven hinzuzufügen.

(Bild: Alexander Supertramp/Shutterstock.com)

Neun von zehn Webanwendungen haben Sicherheitslücken – höchste Zeit für Web Developer, zu handeln. Wie sie sich gegen Angriffe wehren und ihre Anwendungen absichern können, zeigt der erste enterJS Web Security Day am 9. Oktober 2025. Auf der Online-Konferenz von dpunkt.verlag und iX behandeln Security-Expertinnen und -Experten Themen wie automatisierte Sicherheitsprüfungen, den Einsatz von Passkeys und den Schutz vor KI-basierten Angriffen.

Highlights aus dem Programm:

Tickets zur Veranstaltung – derzeit mit Frühbucherrabatt – sind im enterJS-Ticketshop verfügbar.

In Astro war es bisher so, dass Entwicklerinnen und Entwickler zum Rendern von Markdown-Inhalten in einem Content Loader selbst mit dem Parsen von Markdown umgehen mussten. Das konnte laut dem Astro-Team zu Verwirrung führen, da es nicht mit der Funktionsweise des Markdown-Renderns auf anderen Teilen der Seite übereinstimmte und eine andere Konfiguration nutzte.

Daher fügt Astro 5.9 dem Loader Context eine neue Hilfsfunktion hinzu: renderMarkdown. Sie erlaubt das Rendern von Markdown-Inhalten direkt innerhalb der Loader. Dabei verwendet sie die gleichen Einstellungen und Plug-ins wie der Renderer, der für Markdown-Dateien in Astro zum Einsatz kommt, inklusive im Astro-Projekt konfigurierter Markdown-Einstellungen.

Zu den weiteren Updates zählt, dass sich Standard-Styles für experimentelle Responsive Images nun deaktivieren lassen und Astro-Adapter das Logging für nicht unterstützte Features unterdrücken können.

Detaillierte Informationen zu den Highlights in Astro 5.9 bietet der Astro-Blog.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

Original Link

(Ursprünglich geschrieben von Heise)