La communauté des développeurs Web est en effervescence depuis l'annonce du retrait officiel de XSLT. Pour mémoire, XSLT (Extensible Stylesheet Language Transformations) est une technologie fondamentale depuis la fin des années 1990. Il permet notamment de transformer un document XML dans un autre format, tel PDF ou encore HTML pour être affiché comme une page Web. Les projets Firefox et WebKit prévoient aussi de supprimer XSLT de leurs moteurs de navigateur. Cette annonce marque la fin symbolique d'une époque où le développement Web basé sur XML dominait les systèmes d'entreprise. Mais la communauté se dit profondément inquiète.Qu'est-ce que XSLT (Extensible Stylesheet Language Transformations) ?
Lancé en 1998, XSLT est un langage conçu initialement pour transformer des documents XML en d'autres documents XML ou en d'autres formats tels que HTML pour les pages Web, texte brut ou XSL Formatting Objects. Ces formats peuvent ensuite être convertis en d'autres formats tels que PDF, PostScript et PNG. La prise en charge de la transformation JSON et du texte brut a été ajoutée dans les mises à jour ultérieures de la spécification XSLT 1.0.
Les implémentations XSLT 3.0 prennent en charge Java, .NET, C/C++, Python, PHP et NodeJS. Une bibliothèque JavaScript XSLT 3.0 peut également être hébergée dans le navigateur Web. Les navigateurs Web modernes (Chrome, Firefox, etc.) incluent également une prise en charge native de XSLT 1.0.
La transformation de document XSLT spécifie comment transformer un document XML en un nouveau document (XML, HTML, texte brut, et d'autres formats). En règle générale, les documents d'entrée sont des fichiers XML, mais tout ce à partir de quoi le processeur peut construire un modèle de données XQuery et XPath peut également être utilisé, notamment les tables de bases de données relationnelles ou les systèmes d'information géographique.
Bien que le langage XSLT ait été initialement conçu comme un langage spécialisé pour la transformation XML, il est Turing-complet, ce qui le rend théoriquement capable d'effectuer des calculs arbitraires. Toutefois, les navigateurs Web populaires se dirigent vers l'abandon du support de XSLT. Les raisons évoquées sont l'amélioration de la sécurité, mais de nombreux développeurs et sites craignent que cela casse des contenus anciens ou spécialisés.
Les arguments de Google pour le retrait du support de XSTL
Le 24 octobre 2025, Google a annoncé son intention de déprécier et de supprimer XSLT du projet Chromium et du navigateur Web Chrome. Google mettra fin à XSLT d'ici 2027. « Chromium a officiellement abandonné XSLT, y compris l'API JavaScript XSLTProcessor et l'instruction de traitement des feuilles de style XML. Nous avons l'intention de supprimer la prise en charge à partir de la version 155 (17 novembre 2026) », indique l'annonce de Google.
Chromium prend en charge XSLT v1.0, comme la plupart des navigateurs Web modernes. Cependant, Google explique que cette version de XSTL est très peu utilisée, présente des vulnérabilités dans ses bibliothèques (notamment libxslt) et représente un coût de maintenance pour peu de bénéfice. Selon Google, Chromium utilise la bibliothèque libxslt pour traiter ces transformations, et celle-ci n'a pas été maintenue pendant environ six mois en 2025.
Envoyé par Google
Libxslt est une base de code C complexe et vieillissante, notoirement vulnérable aux failles de sécurité mémoire telles que les débordements de tampon, qui peuvent conduire à l'exécution de code arbitraire. Comme XSLT côté client est désormais une fonctionnalité de niche rarement utilisée, ces bibliothèques font l'objet d'une maintenance et d'un contrôle de sécurité bien moins importants que les moteurs JavaScript de base, alors qu'elles constituent une surface d'attaque directe et puissante pour le traitement de contenus Web non fiables. En effet, XSLT est à l'origine de plusieurs exploits de sécurité très médiatisés qui continuent de mettre en danger les utilisateurs de navigateurs.
Le WHATWG a été fondé en 2004 par des ingénieurs de Mozilla, Opera et Apple. Le calendrier proposé pour Chromium est le suivant : dépréciation dans M143, suppression dans M155 (sauf pour les utilisateurs d'Origin Trial et d'Enterprise Policy) et arrêt d'Origin Trial et d'Enterprise Policy dans M164.
Des développeurs sont contre le retrait du support de XSTL
Certains développeurs et sites Web estiment que, même si l’usage est faible, XSLT remplit encore des fonctions utiles (transformation côté client de XML, applications héritées) et craignent que sa suppression ne casse des contenus anciens ou spécialisés. XSLT permet de transformer facilement des documents XML sans avoir recours à du code JavaScript ou à des traitements côté serveur, ce qui en fait un outil léger pour des usages spécifiques.
De nombreux systèmes hérités, notamment dans les administrations, les éditeurs de logiciels métiers ou certains flux de données comme les RSS, s’appuient encore sur XSLT pour formater ou afficher des informations. Ils sont menacés par cette décision. Les critiques affirment que l'approche de Google va à l'encontre du principe fondamental de rétrocompatibilité du Web, qui permet à des pages vieilles de 30 ans de fonctionner encore aujourd'hui.
Impact sur les systèmes hérités et flux RSS
Cette suppression affecterait particulièrement les éditeurs de flux RSS et les sociétés d'hébergement de podcasts qui utilisent XSLT pour créer des versions attrayantes et lisibles de leurs flux. Bon nombre de ces systèmes sont intégrés à des appareils matériels ou à des services hérités qui ne peuvent pas être facilement mis à jour. Supprimer XSTL des navigateurs risque donc de rendre ces contenus illisibles sans solution de remplacement simple.
Ce changement obligerait...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
