主要观点：

• Firefox 用户界面（UI）大多用 HTML、CSS 和 JavaScript 等标准网络技术及一些自定义组件实现，前端用网络技术可在所有桌面操作系统上渲染，但易受注入攻击，如跨站脚本（XSS）攻击。
• Firefox 的 UI 与运行在低特权内容进程中的网络内容分离，通过 IPC 系统交互，2022 年 Pwn2Own 中有人找到逃逸网络内容沙箱的漏洞链，涉及在 Firefox UI 中创建 JavaScript 内联事件处理程序。
• 对于网站，缓解 XSS 攻击通常用内容安全策略（CSP）限制脚本执行，Firefox UI 也可通过 CSP 加固前端代码，已移除 browser.xhtml 中 600 多个内联事件处理程序。
• 主要 Firefox UI 是一个大的 XHTML 文档 browser.xhtml，目前已大幅改善防止内联脚本执行的现状，其他窗口如“关于 Firefox”对话框会添加更严格的 CSP 以阻止所有动态代码执行。

关键信息：

• 使用标准网络技术实现 Firefox UI，易受注入攻击。
• 通过 IPC 系统实现父进程与子进程通信。
• 2022 年 Pwn2Own 漏洞链涉及 Firefox UI 内联事件处理程序。
• 已移除 browser.xhtml 中 600 多个内联事件处理程序。
• 目标是阻止 Firefox 中所有动态代码执行。

重要细节：

• 内联事件处理程序与正常事件处理程序的区别，如可返回 false 等。
• 不同窗口基于各自的（X）HTML 文件，重点加固 browser.xhtml。
• 已在“about：preferences”等页面添加 CSP。
• 未来将扩展技术到其他上下文，消除一类攻击，提高攻击门槛。