mozilla基金会已经对它的新的 Content Security Policy (CSP)做了第一次 说明 。CSP希望能够预防跨网站脚本的攻击。CSP允许web管理者发送一个特殊的头文件(X-Content-Security-Policy:allow ‘self’)来告诉浏览器 哪个域名可以作为信任代码的来源。标准的XSS攻击有时会利用web应用程序的漏洞,在浏览器中通过可信任的域名来运行JavaScript。
使用CSP,浏览器只运行来自信任列表中的域名中的脚本,其他的所有都会被阻塞。这样允许管理者指定他们自己的服务器加载和执行脚本,例如,攻击者再也不能在HTML文件中注入攻击代码。
CSP只在特定的经过调试的浏览器中运行。新的 Preview Build of Firefox 已经支持该功能。但这个版本并不支持所有的特性,已经有了基本的功能。在特别 的 演示网站 上面,你可以测试CSP是怎么样工作的。Mozilla的安全项目的经理Brandon Sterne说他期待有更多的人参与这第一次测试,希望得到他们的评论。
