A Firefox "Content Security Policy" funkciójának első bemutatója

Mozilla

A Mozilla Foundation előállt a Content Security Policy (CSP) első demójával. A CSP egy új funkció, amely várhatóan segít a Cross-site Scripting (XSS) típusú támadások ellen.

A CSP lehetővé teszi a weboldalak adminisztrátorai számára, hogy egy speciális header-t (X-Content-Security-Policy) küldjenek, amely megmondja a böngészőnek, hogy mely domain-eket kell elfogadnia megbízható kódok forrásaként.

Az XSS támadások előszeretettel használják ki a webes alkalmazások hibáit Javascript böngészőben való végrehajtására a megbízható domain jogosultságaival.

A CSP-vel a böngésző csak azokat a script-eket hajtja végre, amelyek egy whitelist-en szereplő domain-ektől származtathatók - minden más blokkolásra kerül. Ezzel a mechanizmussal az webadminisztrátorok megadhatják a saját scriptszervereiket, ahonnan betöltésre és végrehajtásra kerülhetnek a scriptek.

A CSP csak megfelelő böngészővel használható. A Mozilla Firefox előzetes build-jeit felkészítették a CSP támogatására. Annak ellenére, hogy ezek a preview verziók még nem támogatnak mindent, ami a specifikációban szerepel, előzetes tesztelésre mindenképpen megfelelők.

Elkészült egy speciális tesztoldal, ahol le lehet tesztelni a CSP-t működés közben.

A részletek itt olvashatók.

( NagyZ v | 2009. 10. 04., v – 21:03 )

3.5.3 -as firefox, windowson, mind fail :-)

"A CSP csak megfelelő böngészővel használható. A Mozilla Firefox előzetes build-jeit felkészítették a CSP támogatására. Annak ellenére, hogy ezek a preview verziók még nem támogatnak mindent, ami a specifikációban szerepel, előzetes tesztelésre mindenképpen megfelelők."

"The following tests demonstrate the core functionality of Content Security Policy. Grab a preview build of Minefield and load this page to see how CSP works. For each individual test, a CSP-supporting browser will display PASS while a non-supporting browser will display FAIL. Each test also contains a comment showing the CSP header that was sent."

Tyrael