mozilla基金會已經對它的新的 Content Security Policy (CSP)做了第一次 說明 。CSP希望能夠預防跨網站腳本的攻擊。CSP允許web管理者發送一個特殊的頭文件(X-Content-Security-Policy:allow ‘self’)來告訴瀏覽器 哪個域名可以作為信任代碼的來源。標準的XSS攻擊有時會利用web應用程序的漏洞,在瀏覽器中通過可信任的域名來運行JavaScript。
使用CSP,瀏覽器只運行來自信任列表中的域名中的腳本,其他的所有都會被阻塞。這樣允許管理者指定他們自己的服務器加載和執行腳本,例如,攻擊者再也不能在HTML文件中注入攻擊代碼。
CSP只在特定的經過調試的瀏覽器中運行。新的 Preview Build of Firefox 已經支持該功能。但這個版本并不支持所有的特性,已經有了基本的功能。在特別 的 演示網站 上面,你可以測試CSP是怎么樣工作的。Mozilla的安全項目的經理Brandon Sterne說他期待有更多的人參與這第一次測試,希望得到他們的評論。
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
