Discussion :

[Mathis Lucas]

Google Chrome prévoit de supprimer le support de XSLT, un langage permettant de transformer des documents XML en d’autres formats tels que HTML.
mais l'initiative est décriée par certains développeurs

La communauté des développeurs Web est en effervescence depuis l'annonce du retrait officiel de XSLT. Pour mémoire, XSLT (Extensible Stylesheet Language Transformations) est une technologie fondamentale depuis la fin des années 1990. Il permet notamment de transformer un document XML dans un autre format, tel PDF ou encore HTML pour être affiché comme une page Web. Les projets Firefox et WebKit prévoient aussi de supprimer XSLT de leurs moteurs de navigateur. Cette annonce marque la fin symbolique d'une époque où le développement Web basé sur XML dominait les systèmes d'entreprise. Mais la communauté se dit profondément inquiète.

Qu'est-ce que XSLT (Extensible Stylesheet Language Transformations) ?

Lancé en 1998, XSLT est un langage conçu initialement pour transformer des documents XML en d'autres documents XML ou en d'autres formats tels que HTML pour les pages Web, texte brut ou XSL Formatting Objects. Ces formats peuvent ensuite être convertis en d'autres formats tels que PDF, PostScript et PNG. La prise en charge de la transformation JSON et du texte brut a été ajoutée dans les mises à jour ultérieures de la spécification XSLT 1.0.

Les implémentations XSLT 3.0 prennent en charge Java, .NET, C/C++, Python, PHP et NodeJS. Une bibliothèque JavaScript XSLT 3.0 peut également être hébergée dans le navigateur Web. Les navigateurs Web modernes (Chrome, Firefox, etc.) incluent également une prise en charge native de XSLT 1.0.

La transformation de document XSLT spécifie comment transformer un document XML en un nouveau document (XML, HTML, texte brut, et d'autres formats). En règle générale, les documents d'entrée sont des fichiers XML, mais tout ce à partir de quoi le processeur peut construire un modèle de données XQuery et XPath peut également être utilisé, notamment les tables de bases de données relationnelles ou les systèmes d'information géographique.

Bien que le langage XSLT ait été initialement conçu comme un langage spécialisé pour la transformation XML, il est Turing-complet, ce qui le rend théoriquement capable d'effectuer des calculs arbitraires. Toutefois, les navigateurs Web populaires se dirigent vers l'abandon du support de XSLT. Les raisons évoquées sont l'amélioration de la sécurité, mais de nombreux développeurs et sites craignent que cela casse des contenus anciens ou spécialisés.

Les arguments de Google pour le retrait du support de XSTL

Le 24 octobre 2025, Google a annoncé son intention de déprécier et de supprimer XSLT du projet Chromium et du navigateur Web Chrome. Google mettra fin à XSLT d'ici 2027. « Chromium a officiellement abandonné XSLT, y compris l'API JavaScript XSLTProcessor et l'instruction de traitement des feuilles de style XML. Nous avons l'intention de supprimer la prise en charge à partir de la version 155 (17 novembre 2026) », indique l'annonce de Google.

Chromium prend en charge XSLT v1.0, comme la plupart des navigateurs Web modernes. Cependant, Google explique que cette version de XSTL est très peu utilisée, présente des vulnérabilités dans ses bibliothèques (notamment libxslt) et représente un coût de maintenance pour peu de bénéfice. Selon Google, Chromium utilise la bibliothèque libxslt pour traiter ces transformations, et celle-ci n'a pas été maintenue pendant environ six mois en 2025.

Libxslt est une base de code C complexe et vieillissante, notoirement vulnérable aux failles de sécurité mémoire telles que les débordements de tampon, qui peuvent conduire à l'exécution de code arbitraire. Comme XSLT côté client est désormais une fonctionnalité de niche rarement utilisée, ces bibliothèques font l'objet d'une maintenance et d'un contrôle de sécurité bien moins importants que les moteurs JavaScript de base, alors qu'elles constituent une surface d'attaque directe et puissante pour le traitement de contenus Web non fiables. En effet, XSLT est à l'origine de plusieurs exploits de sécurité très médiatisés qui continuent de mettre en danger les utilisateurs de navigateurs.

Pour ces raisons, Chromium souhaite déprécier et supprimer XSLT. Le WHATWG (Web Hypertext Application Technology Working Group) a décidé de faire passer la dépréciation de XSLT à la phase 3, ce qui indique un large consensus. Les deux autres moteurs de navigation prévoient également de déprécier XSLT. Le WHATWG est un groupe de travail chargé de définir et maintenir les standards modernes du Web, dont la version vivante de HTML.

Le WHATWG a été fondé en 2004 par des ingénieurs de Mozilla, Opera et Apple. Le calendrier proposé pour Chromium est le suivant : dépréciation dans M143, suppression dans M155 (sauf pour les utilisateurs d'Origin Trial et d'Enterprise Policy) et arrêt d'Origin Trial et d'Enterprise Policy dans M164.

Des développeurs sont contre le retrait du support de XSTL

Certains développeurs et sites Web estiment que, même si l’usage est faible, XSLT remplit encore des fonctions utiles (transformation côté client de XML, applications héritées) et craignent que sa suppression ne casse des contenus anciens ou spécialisés. XSLT permet de transformer facilement des documents XML sans avoir recours à du code JavaScript ou à des traitements côté serveur, ce qui en fait un outil léger pour des usages spécifiques.

De nombreux systèmes hérités, notamment dans les administrations, les éditeurs de logiciels métiers ou certains flux de données comme les RSS, s’appuient encore sur XSLT pour formater ou afficher des informations. Ils sont menacés par cette décision. Les critiques affirment que l'approche de Google va à l'encontre du principe fondamental de rétrocompatibilité du Web, qui permet à des pages vieilles de 30 ans de fonctionner encore aujourd'hui.

Impact sur les systèmes hérités et flux RSS

Cette suppression affecterait particulièrement les éditeurs de flux RSS et les sociétés d'hébergement de podcasts qui utilisent XSLT pour créer des versions attrayantes et lisibles de leurs flux. Bon nombre de ces systèmes sont intégrés à des appareils matériels ou à des services hérités qui ne peuvent pas être facilement mis à jour. Supprimer XSTL des navigateurs risque donc de rendre ces contenus illisibles sans solution de remplacement simple.

Ce changement obligerait les créateurs de contenu à maintenir des versions HTML distinctes de leurs flux ou à accepter que les utilisateurs voient le XML brut lorsqu'ils visitent directement les URL des flux. Une telle situation risque de ruiner l'expérience des utilisateurs et impacter négativement les créateurs.

« Il est incompréhensible que lorsque vous ouvrez la solution Web ouverte pour vous abonner à du contenu Web (RSS), vous soyez accueilli par un mur de texte non formaté. À l'heure actuelle, XSLT est la seule solution, bien que médiocre, à cette incapacité fondamentale du navigateur », a écrit un critique.

Google accusé de tuer les technologies

Certains détracteurs dénoncent la manière dont la décision a été prise : ils reprochent à Google et au projet Chromium de réduire la diversité technologique du Web en privilégiant uniquement les outils les plus récents ou les plus utilisés, au détriment de standards encore fonctionnels. Pour eux, cette évolution s’inscrit dans une tendance plus large où des acteurs dominants décident unilatéralement de « ce qui mérite » de rester dans la pile Web.

Google a tenté pour la première fois de mettre fin à XSLT en juillet 2013, il y a douze ans. Mais cela n'avait pas eu lieu. « À ce jour, Google a supprimé près de 300 technologies. XSLT rejoindra bientôt le cimetière Google. Le 13 mars 2013, Google annonce la suppression de Google Reader. Cette date n'est qu'à quelques semaines de leur première tentative de suppression de XSLT », a écrit le mouvement XSLT.RIP qui dénonce l'initiative de Google.

Le site Killed By Google offre une vue d'ensemble des technologies mises au rebut par Google au cours depuis le début des années 2000. Il est important de souligner que les projets Firefox et WebKit ont également indiqué qu'ils prévoient de supprimer le support de XSLT de leurs moteurs de navigateur.

Sur son site Web, le mouvement XSLT.RIP a exprimé les raisons de son opposition à cette décision. « Pourquoi Google déteste-t-il le XML ? Le RSS est utilisé pour diffuser des actualités et, en le supprimant, Google peut contrôler les médias. XSLT est utilisé dans le monde entier par des sites gouvernementaux. Google tente désormais de contrôler la législation. Une fois ces technologies supprimées, qu'est-ce qui empêchera Google d'aller plus loin ? ».

« Mozilla souhaite détruire le contenu Web existant en supprimant XSLT. Apple souhaite participer plus tôt avant la date prévue par Google en 2027. Combien Google a-t-il payé pour ce soutien ? Google verse jusqu'à 420 millions de dollars par an à Mozilla et Apple a reçu 20 milliards de dollars en un an seulement ». Le mouvement estime que Google a versé à Mozilla et Apple plus de 244,2 milliards de dollars au cours de la dernière décennie.

Les solutions alternatives qui s'offrent aux développeurs

XSTL est un outil léger et efficace pour des usages spécifiques, mais en voie de disparition. Google a développé un Polyfill basé sur WebAssembly comme remplacement potentiel, mais sa taille de 46 mégaoctets a suscité des critiques de la part des développeurs préoccupés par son impact sur les performances. WebKit a exprimé son soutien prudent à la suppression, mais attendra qu'un autre navigateur mette en œuvre le changement en premier.

Cependant, la communauté a suggéré d'autres approches, telles que l'intégration directe du Polyfill dans les navigateurs ou la mise à jour vers des implémentations XSLT sécurisées en mémoire écrites dans des langages tels que Rust. Pour le moment, Google ne semble pas ouvert à ses propositions.

Alternatives proposées

• Polyfill WebAssembly (taille 46 Mo) ;
• implémentations sécurisées en Rust ;
• traitement XSLT côté serveur ;
• publication HTML directe au lieu de transformation XML.

Ce débat reflète les tensions entre les fournisseurs de navigateurs qui cherchent à réduire les charges de maintenance et les développeurs qui accordent de l'importance à la stabilité du Web. Google présente cette mesure comme une mesure de sécurité nécessaire, mais ses détracteurs y voient la tendance des principaux fournisseurs de navigateurs à privilégier leur propre confort au détriment des besoins des utilisateurs et de la compatibilité Web.

Ce que pensent certains membres de la communauté DevOps

Si beaucoup s'opposent à la suppression de XSTL des navigateurs Web modernes, ce n'est pas le cas de certains membres de la communauté Linux. Pour les développeurs Linux et ingénieurs DevOps, la fin de vie de XSLT est à la fois un soulagement et une prise de conscience. « Beaucoup d'entre nous ont des cicatrices de guerre dues à la maintenance des feuilles de style XSLT dans les environnements de production », lit-on dans les commentaires.

Le commentateur va plus loin : « si vous avez déjà débogué un fichier XSLT de 10 000 lignes à 3 heures du matin pour essayer de comprendre pourquoi votre transformation XML produisait un résultat invalide, vous savez exactement de quoi nous parlons ». Pour ce dernier, les implications pratiques sont importantes :

• maintenance des systèmes hérités : d'innombrables systèmes Linux dépendent encore de XSLT pour les transformations de données critiques. Les banques, les compagnies d'assurance, les prestataires de soins de santé et les agences gouvernementales ont construit des flux de travail entiers autour de XSLT. Ces systèmes ne disparaîtront pas comme par magie, mais leur migration éventuelle est inévitable ;
  
• changements dans le pipeline DevOps : si vous gérez une infrastructure qui traite des données XML via des transformations XSLT, vous devez commencer à planifier votre stratégie de sortie. Cela pourrait impliquer de réécrire la logique de transformation dans des langages modernes tels que Python, Go ou JavaScript, ou d'adopter des outils spécialisés conçus pour l'ère post-XSLT ;
  
• implications pour les conteneurs et les microservices : XSLT ne fonctionne pas bien avec les architectures conteneurisées. Les pratiques DevOps modernes privilégient les solutions légères et indépendantes du langage. La nature lourde de XSLT et sa courbe d'apprentissage abrupte le rendent peu adapté aux systèmes basés sur les microservices.

Selon ce critique, XSLT est devenu problématique et sa suppression de la pile Web moderne est logique d'un point de vue technique. Il souligne : « XSLT a été le pionnier de la programmation fonctionnelle pour de nombreux développeurs Web, mais les langages fonctionnels ont considérablement évolué et supplanté XSTL. Clojure, Elixir et même les fonctionnalités fonctionnelles de JavaScript sont aujourd'hui bien plus élégantes et pratiques ».

Conclusion

Google affirme que le retrait de XSTL des navigateurs Web modernes est techniquement justifié d'un point de vue technique (sécurité, maintenance), mais dans la communauté, cette décision a suscité de l’inquiétude et de l’opposition. XSLT remplit encore des fonctions utiles (transformation côté client de XML, flux RSS, applications héritées, etc.). Et pour certains développeurs, même si l'usage est faible, il permet à des systèmes hérités de fonctionner.

Cette controverse met en évidence le défi permanent que représente l'équilibre entre sécurité, coûts de maintenance et rétrocompatibilité dans l'évolution des plateformes Web. Alors que les navigateurs continuent d'ajouter de nouvelles fonctionnalités tout en réfléchissant à celles qu'ils pourraient supprimer, le débat sur le langage XSLT sert d'étude de cas pour comprendre comment ces décisions affectent l'écosystème Web dans son ensemble.

Sources : Google (1, 2) XSTL.RIP, Killed By Google

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la décision de Google de supprimer le support de XSTL de Chrome ?
Les critiques estiment que cette décision nuirait aux flux RSS et d'autres systèmes hérités. Qu'en pensez-vous ?
Google est accusé de tuer les technologies pour étendre son influence dans l'industrie. Que pensez-vous de cette allégation ?
Utilisez-vous XSTL pour transformer des documents XML en d'autres formats ? Si oui, comment cette décision vous impacte-t-elle ?
La décision des fournisseurs de navigateurs de supprimer le support de XSTL est-elle justifiée ? Quelles sont les alternatives qui s'offrent à l'industrie ?

Voir aussi

Si vous utilisez le code de Polyfill.io sur votre site comme des centaines de milliers d'autres développeurs, retirez-le à l'immédiat, car ce domaine est en cours d'exploitation par des cybercriminels

Google ne supprimera plus les cookies tiers publicitaires de Chrome, malgré des années passées à peaufiner son alternative Privacy Sandbox, dans un contexte de poursuites antitrust qui la mettent sous pression

Le problème de compatibilité entre les navigateurs constitue un véritable frein pour les développeurs Web selon un rapport de Mozilla Developer Network (MDN)

[RenarddeFeu]

Franchement, le XML et ses dérivés, c'est pas l'invention du siècle. Les langages à markup sont inutilement complexes, autant les abandonner.

[jreeman]

Pour une fois qu'on avait un langage fonctionnel, c'est dommage de le perdre.
Par contre, l'article se trompe, la courbe d'apprentissage du langage xslt n'est pas ardue, son aspect récursif (possible facilement pour tout langage fonctionnel) le rend parfois un peu difficile à prévoir mais ce n'est pas perdu : on y gagne en puissance.