Mozilla浏览器引入新技术处理跨站脚本漏洞威胁

原创
安全
Mozilla的安全工程师们正在开发新技术以避免一些由于Web应用程序漏洞产生的安全威胁,最典型的就是现在四处肆虐的跨站攻击。

【51CTO.com独家翻译】Mozilla的安全工程师们正在开发新技术以避免一些由于Web应用程序漏洞产生的安全威胁,最典型的就是现在四处肆虐的跨站攻击。

这个名为“内容安全策略”(Content Security Policy)项目的宗旨是提供一种机制,能够让各站点明确标示出哪些内容是合法的,从而杜绝跨站攻击。它也可以用于防范点击劫持(clickjacking)和数据包嗅探攻击(packet sniffing attack)。 参见:网络摄像头劫持演示突显点击劫持威胁

通过以下手段,“内容安全策略”使得服务器管理员可以减少甚至消除跨站攻击:

1.网站管理员指定哪些域是可信的脚本来源。

2.浏览器只执行来自白名单地址的脚本文件,其它的如内嵌脚本和HTML元素的事 件处理属性这些,全都会被忽略。

注意:在“内容安全策略”(CSP)中,不使用HTML属性并不会影响事件处理机。

3.那些不想在页面内包含JavaScript代码的网站可以关闭全部的脚本功能。

所谓点击劫持,是指使用一个不可见的、隐藏的有害页面,去响应用户的点击。为了避免点击劫持,Mozilla的“内容安全策略”将会允许站点指定哪些地址可以嵌入资源。

开源集团(open-source group)介绍,“内容安全策略”将完全向后兼容,对那些不支持这一特性的网站也完全兼容。

【51CTO.COM 独家翻译,转载请注明出处及作者!】

责任编辑:许凤丽 来源: 51CTO.com
相关推荐

2009-03-31 09:06:21

2011-06-21 16:52:48

2020-12-21 09:40:06

脚本攻击XSS漏洞

2009-10-23 13:08:23

2023-08-29 12:40:44

MozillaFirefox浏览器

2022-02-07 15:37:30

元宇宙MozillaVR 浏览器

2009-03-05 09:43:04

Mozilla手机浏览器Fennec

2009-04-24 09:09:55

FirefoxMozila浏览器

2014-01-16 11:09:17

2009-10-27 15:09:04

2014-11-27 09:26:23

2009-10-27 15:21:04

2013-11-22 09:58:36

2014-02-28 09:50:28

Mozilla浏览器

2010-12-15 11:30:33

Mozilla浏览器

2011-06-10 09:02:43

Webian ShelMozilla

2009-02-26 16:24:31

2015-04-24 10:37:40

Web安全浏览器跨域访问

2012-04-12 14:45:13

2012-05-15 14:07:45

点赞
收藏

51CTO技术栈公众号