Разработчики проекта Mozilla представили первый рабочий прототип Firefox с реализацией технологии CSP (Content Security Policy), направленной на интеграцию в веб-браузеры средств для защиты от атак, осуществляемых через организацию межсайтового скриптинга (XSS), подстановку в страницы "IFRAME/JavaScript src" блоков или инициирование скрытого выполнения аутентифицированным пользователей действий на внешнем ресурсе (CSRF, XSS проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту).
К работе по улучшению предварительной спецификации CSP приглашаются производители других веб-браузеров, эксперты по безопасности и веб-мастера. Для знакомства с возможностями технологии подготовлена специальная демонстрационная страница, на которой представлены 11 примеров атак, которым может противостоять CSP. Спецификация CSP вводит в обиход новый HTTP-заголовок, при помощи которого веб-мастер может явно указать какие из скриптов можно выполнять для заданного домена. CSP также позволяет определить список внешних ресурсов, используемых на текущей странице, чтобы отличить злонамеренные вставки от полезных (баннерные сети, внешние блоки новостей), использующих загрузку кода через iframe, javascript src или img src.
Подробнее