Googleは、ChromiumブラウザエンジンからXMLドキュメント変換言語(XSLT)をサポートするコンポーネントを削除することを決定しました。その理由として挙げられているのは、libxsltライブラリの使用を中止することで攻撃対象領域を縮小するためです。Googleは、libxsltが定期的に脆弱性(例:CVE-2025-7425、CVE-2022-22834)を指摘され、メンテナンス上の問題(6月から9月にかけてライブラリがメンテナンスされず、脆弱性修正パッチも適用されなかった)を抱えていることから、XSLT 1.0のサポートは不要なセキュリティリスクを生み出すと考えています。FirefoxプロジェクトとWebKitプロジェクトもXSLTサポートの削除を検討しています。
クライアント側のXSLTサポートは現在不要であり、ほとんど使用されていないにもかかわらず、XSLTの脆弱性はブラウザ攻撃のツールになりつつあります。また、DOMParserやFetchなどのJavaScript APIを使用すれば、HTMLデータ変換タスクをより安全に実行できます。Googleの統計によると、読み込まれるWebページのうちXSLTを使用しているページの割合は0.02%ですが、XSLT処理命令を使用しているページの割合は0.001%と推定されています。
同様に、脆弱性やメンテナンス上の問題が頻繁に発見されているChromiumのlibxml2ライブラリの使用を中止することが決定されました。ChromiumはXMLデータの解析、シリアル化、検証にlibxml2を使用し、XSLTProcessorクラスとXSLT処理命令の実装にはlibxsltを使用しています(" »)。
XSLTProcessor APIやXMLスタイルシート解析命令などのlibxsltベースの機能のサポートは、2026年11月17日に予定されているChrome 155で廃止されます。2025年12月2日に予定されているChrome 143では、XSLTProcessor APIの廃止に関する警告がウェブコンソールに追加されます。Chrome 148(2026年春)では、Canary、Dev、BetaブランチでXSLTサポートがデフォルトで無効化されます。XML解析機能はそのまま残りますが、セキュリティを考慮してRustで記述された新しいライブラリに移行されます。
ブラウザに組み込まれたXSLTサポートの代替として、XSLT処理をサードパーティに移行することが提案されている。 サーバー フォーマット済みのHTMLコンテンツをクライアントに送信します。クライアントと サーバは、JSON形式の使用と、JavaScriptを使用してJSONをHTML/CSSに変換するレンダリングに置き換えることが提案されています。その他の代替案としては、XSLT実装を備えたSaxonica JavaScriptライブラリ、レガシーコードとの互換性を確保するためのポリフィルレイヤー(XSLTProcessorのWASMベースの代替として提供)、そしてXMLドキュメントにポリフィルを自動的に挿入するブラウザアドオンなどが挙げられます。
出所: オープンネット.ru
