Im Mai 2025 wurde die HTML-Spezifikation entscheidend aktualisiert: Die Zeichen < und > in Attributen von HTML-Elementen werden ab sofort immer escaped, also durch ihre entsprechenden HTML-Entitäten < und > ersetzt. Diese Neuerung, die ursprünglich mit Chrome 138 eingeführt wurde und ab Juni 2025 in der stabilen Version von Chromium sowie Firefox 140 und Safari 26 Beta verfügbar ist, hat weitreichende Folgen für Webentwickler, Sicherheitspraktiken und bestehende Webprojekte. Im Folgenden wird ausführlich erklärt, was es mit der Änderung auf sich hat, warum sie notwendig ist und wie Entwickler damit umgehen können. Die Vorteile für die Sicherheit und die Praktikabilität im Entwickleralltag stehen dabei im Mittelpunkt. Ursprünglich blieb das Escaping der spitzen Klammern < und > in HTML-Attributen unberücksichtigt.
Somit konnten Zeichenfolgen wie <u>hello</u> in einem Attributwert stehen, ohne dass sie kodiert wurden. Das bedeutete, dass beim Zugriff auf den HTML-Code via outerHTML oder innerHTML die Zeichenfolgen unverändert blieben, was in der Vergangenheit jedoch eine potenzielle Sicherheitslücke öffnete. Die Mutation Cross-Site Scripting (mXSS) genannte Angriffsmethode nutzt genau solche unkodierten Sonderzeichen, um bösartigen Code einzuschleusen. Die Spezifikationsänderung stellt sicher, dass solche Zeichen immer escaped werden, um diese Angriffsmöglichkeit zu schließen. Praktisch bedeutet das zum Beispiel, wenn ein <div>-Element ein Attribut data-content mit dem Wert <u>hello</u> besitzt, wird bisher beim Zugriff auf div.
outerHTML der Attributwert genau so als <u>hello</u> angezeigt. Nach der Umstellung sieht man stattdessen <u>hello</u>, was die Einbettung von tatsächlichem HTML oder Skripten innerhalb von Attributen ausreichend einschränkt. Wichtig ist, dass sich die Änderung nur auf das Serialisieren von HTML in einen String auswirkt, also bei Auslesen von innerHTML, outerHTML oder getHTML(). Das Einlesen und Parsen des HTML-Codes bleibt unverändert. Sowohl unescapte als auch escapte Varianten werden beim Parsen gleichermaßen in den DOM geladen, sodass beispielsweise div.
dataset.content stets den entsprechend dekodierten Wert zurückliefert. Für Webentwickler heißt das, dass weiterhin alle herkömmlichen DOM-Methoden zur Abfrage von Attributwerten wie getAttribute oder dataset unverändert funktionieren und dieselben Werte liefern. Nur beim Zugriff auf die HTML-Repräsentation im Stringformat wird die Escape-Regel wirksam. Diese Tatsache ist besonders wichtig, denn sie bewahrt beispielsweise komplexe Webanwendungen davor, ihren internen DOM-Zustand zu verändern, wirkt aber dennoch präventiv gegen Sicherheitsrisiken.
Die Technik zeigt deutlich auf, dass das Problem nicht das Darstellen der Werte im DOM ist, sondern der Umgang mit Roh-HTML-Code in String-Form. In der Praxis kann diese Änderung bei bestimmten Arbeitsweisen zu Problemen führen. Das Hauptproblem entsteht, wenn Entwickler auf innerHTML oder outerHTML zurückgreifen, um Attributwerte per regulären Ausdrücken oder einfachen String-Operationen auszulesen oder zu bearbeiten. Weil die Zeichen < und > nun escaped vorliegen, liefern solche Methoden nicht mehr die erwarteten Rohwerte, sondern die Escape-Sequenzen. Beispielsweise führte der bisherige Ausdruck div.
outerHTML.match(/"([^"]+)"/)[1] früher zum Ergebnis <u>, nun aber zu <u>. Dies macht den Code inkompatibel und erfordert Anpassungen. Es wird daher dringend empfohlen, niemals reguläre Ausdrücke zum Parsen von HTML zu verwenden, wenn DOM-APIs verfügbar sind. Der korrekte Weg ist die Nutzung von getAttribute, dataset oder anderen DOM-Methoden, die konsistente Werte liefern.
Diese Änderung kann auch bestehende End-to-End-Tests in CI/CD-Pipelines betreffen, die mit Chromium HTML-Code extrahieren und mit statischen erwarteten Werten vergleichen. Da der HTML-Output nun escapte Zeichen enthält, schlagen solche Tests fehl. Die Lösung besteht darin, die erwarteten Testwerte entsprechend anzupassen, sodass die Escape-Sequenzen für < und > verwendet werden. Dies stellt keine Regression dar, sondern ist eine natürliche Folge der verbesserten Sicherheit. Die Motivation hinter der Änderung wurzelt in der Vermeidung von Mutation XSS-Angriffen.
Mutation XSS tritt auf, wenn Angreifer HTML oder Skripte über manipulative Zeichenketten einschleusen, welche vom Browser unbeabsichtigt beim Parsen interpretiert werden. Indem man spitze Klammern in Attributen immer escaped, schließt man eine der Schlupflöcher, die Angreifer für derartige Angriffe nutzen. Browserhersteller und Sicherheitsforscher haben die Verbesserung gemeinsam vorangetrieben und mit der Aktualisierung der Spezifikation formal implementiert. Die Verbreitung der Änderung mit Beginn in der aktuellen oder nächsten Browserversion ist eine Einladung an Entwickler, ihre Anwendungen auf Kompatibilität zu prüfen und gegebenenfalls anzupassen. Es wird empfohlen, das eigene JavaScript nach Stellen zu durchsuchen, an denen outerHTML oder innerHTML für das Auslesen von Attributen verwendet wird, und entsprechende Stellen auf DOM-Methoden umzustellen.
Insgesamt erhöht die Änderung die Robustheit und Sicherheit von Webanwendungen. Zwar sind erst Anpassungen notwendig, aber langfristig werden Websites besser geschützt und Entwickler von unsicheren Parsing-Praktiken weggeführt. Das Ergebnis ist eine verbesserte Web-Infrastruktur, die gegen mutierende XSS-Angriffe gewappnet ist. Zusammenfassend stellt die Neueinführung des Escapings der spitzen Klammern in HTML-Attributen einen Meilenstein im Bereich Websicherheit dar. Die technische Umstellung ist gut vorbereitet, da der effektive Wert von DOM-APIs bei der Arbeit mit Attributen unverändert bleibt.
Das bedeutet, existierende Anwendungen funktionieren weiterhin richtig, solange sie nicht auf serielle HTML-Strings setzen. Für Entwickler ist Klarheit geschaffen: Wer HTML-Strings parst, muss sich an neue Escape-Regeln anpassen. Für Anwender und Besucher von Websites bedeutet die Umstellung erhöhte Sicherheit und weniger Risiko durch Mutation XSS. Die Änderung wird sowohl von Chrome, Firefox als auch Safari übernommen, was für eine breite Kompatibilität sorgt. Die wichtigsten Voraussetzungen sind, in der Webentwicklung auf standardkonforme DOM-Zugriffe zu setzen und den Umgang mit HTML-Strings mit Bedacht zu gestalten.
Diese Neuerung ist Teil einer generellen Entwicklung hin zu sichereren Webstandards, die Angriffsflächen für Cyberkriminelle kontinuierlich verringern – eine erfreuliche Entwicklung für die gesamte Branche und Nutzer weltweit.
