mozilla基金會已經(jīng)對它的新的 Content Security Policy (CSP)做了第一次 說明 。CSP希望能夠預(yù)防跨網(wǎng)站腳本的攻擊。CSP允許web管理者發(fā)送一個(gè)特殊的頭文件(X-Content-Security-Policy:allow ‘self’)來告訴瀏覽器 哪個(gè)域名可以作為信任代碼的來源。標(biāo)準(zhǔn)的XSS攻擊有時(shí)會利用web應(yīng)用程序的漏洞,在瀏覽器中通過可信任的域名來運(yùn)行JavaScript。
使用CSP,瀏覽器只運(yùn)行來自信任列表中的域名中的腳本,其他的所有都會被阻塞。這樣允許管理者指定他們自己的服務(wù)器加載和執(zhí)行腳本,例如,攻擊者再也不能在HTML文件中注入攻擊代碼。
CSP只在特定的經(jīng)過調(diào)試的瀏覽器中運(yùn)行。新的 Preview Build of Firefox 已經(jīng)支持該功能。但這個(gè)版本并不支持所有的特性,已經(jīng)有了基本的功能。在特別 的 演示網(wǎng)站 上面,你可以測試CSP是怎么樣工作的。Mozilla的安全項(xiàng)目的經(jīng)理Brandon Sterne說他期待有更多的人參與這第一次測試,希望得到他們的評論。
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯(lián)系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長非常感激您!手機(jī)微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
