Entwicklung & Code

Webframework Astro 5.9 wappnet sich gegen XSS-Attacken


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Das JavaScript-Webframework Astro legt in Version 5.9 den Fokus auf Security und erlaubt die experimentelle Nutzung der Content Security Policy (CSP). Zudem hat das Astro-Team eine Helper-Funktion für das Rendern von Markdown-Inhalten hinzugefügt.

Das neue Release lässt sich mittels automatisiertem CLI-Tool @astrojs/upgrade oder manuell per Paketmanager installieren. Hierbei ist die empfohlene Methode npx (npx @astrojs/upgrade).

CSP-Support gegen Cross-Site-Scripting

Wie das Astro-Team ausführt, zählen Cross-Site-Scripting-Angriffe (XSS) zu den häufigsten Attacken auf Websites. Standardmäßig können Webseiten beliebige Skripte und Styles von einer beliebigen Quelle laden. Die beste Abwehr gegen XSS sei es demnach, das einzuschränken. Hier kommt die Content Security Policy ins Spiel, indem sie die Ziele auf eine Liste vertrauenswürdiger Quellen einschränkt.

Astro 5.9 bringt für CSP experimentellen Support out-of-the-box mit. CSP lässt sich dadurch in allen Render-Modi (statische Seiten, dynamische Seiten und Single-Page-Anwendungen) einsetzen, wobei eine hohe Flexibilität und Typsicherheit gegeben sein sollen. Der Workaround unsafe-inline soll hierdurch überflüssig werden.

Um CSP in Astro zu nutzen, ist es nötig, das experimentelle Flag zu aktivieren:


import { defineConfig } from "astro/config"

export default defineConfig({
    experimental: {
        csp: true
    }
})


Entwicklerinnen und Entwickler, die zum Beispiel via Middleware bereits den Content-Security-Policy-Header verwenden, können das weiterhin tun. Der Browser wird dann die strengere Richtlinie des Headers und des -Elements verwenden. Letzteres lässt sich zudem konfigurieren, um beispielsweise den Standard-Algorithmus zu ändern oder zusätzliche Direktiven hinzuzufügen.




(Bild: Alexander Supertramp/Shutterstock.com)

Neun von zehn Webanwendungen haben Sicherheitslücken – höchste Zeit für Web Developer, zu handeln. Wie sie sich gegen Angriffe wehren und ihre Anwendungen absichern können, zeigt der erste enterJS Web Security Day am 9. Oktober 2025. Auf der Online-Konferenz von dpunkt.verlag und iX behandeln Security-Expertinnen und -Experten Themen wie automatisierte Sicherheitsprüfungen, den Einsatz von Passkeys und den Schutz vor KI-basierten Angriffen.

Highlights aus dem Programm:

Tickets zur Veranstaltung – derzeit mit Frühbucherrabatt – sind im enterJS-Ticketshop verfügbar.

Markdown-Rendering in Content Loadern

In Astro war es bisher so, dass Entwicklerinnen und Entwickler zum Rendern von Markdown-Inhalten in einem Content Loader selbst mit dem Parsen von Markdown umgehen mussten. Das konnte laut dem Astro-Team zu Verwirrung führen, da es nicht mit der Funktionsweise des Markdown-Renderns auf anderen Teilen der Seite übereinstimmte und eine andere Konfiguration nutzte.

Daher fügt Astro 5.9 dem Loader Context eine neue Hilfsfunktion hinzu: renderMarkdown. Sie erlaubt das Rendern von Markdown-Inhalten direkt innerhalb der Loader. Dabei verwendet sie die gleichen Einstellungen und Plug-ins wie der Renderer, der für Markdown-Dateien in Astro zum Einsatz kommt, inklusive im Astro-Projekt konfigurierter Markdown-Einstellungen.

Zu den weiteren Updates zählt, dass sich Standard-Styles für experimentelle Responsive Images nun deaktivieren lassen und Astro-Adapter das Logging für nicht unterstützte Features unterdrücken können.

Detaillierte Informationen zu den Highlights in Astro 5.9 bietet der Astro-Blog.


(mai)



Source link

Verwandte Themen:

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Beliebt

Die mobile Version verlassen