Google ormai inizia a lavorare di fino. Dopo l´annuncio di questi giorni sulla disponibilità di una prima versione che supporta le estensioni, ora arriva quello di una versione sperimentale che supporta la protezione contro il Cross Site Scripting.
Il Cross Site Scripting, indicato anche con la sigla XSS, è una tecnica che consente ad un cracker di "iniettare" codice JavaScript all´interno della pagina Web caricata. Esso per lo più affligge siti dinamici in grado di generare on-the fly codice JavaScript associato alla pagina Web. L´attaccante, sfruttando vulnerabilità presenti nell´engine Web è in grado o di aggiungere permanentemente (stored) il proprio codice javascript al sito Web, oppure di iniettarlo "run-time" all´atto dell´interrogazione e caricamento delle pagine Web.
Google Chrome 4.0.207.0 per Mac OS X e per Linux supporta nella versione di sviluppo, quella denominata "Dev Channel", il supporto al "Cross Site Scripting". Per ogni script di cui è richiesta l´esecuzione viene verificato se è associato o meno alla pagina Web corrente. Nel caso non lo fosse lo script viene bloccato.
Purtroppo, come fa notare lo sviluppatore Adam Barth, sebbene la funzionalità sia presente ancora non può essere percepita a livello utente. Solo utilizzando la console JavaScript si può verificare se nei messaggi di log è presente quello che blocca l´esecuzione di uno script. Nei prossimi giorni, tuttavia, si discuterà con le persone che sviluppano l´interfaccia utente per capire che tipo di "effetto produrre".