Mozilla的安全工程師們正在開發(fā)新技術(shù)以避免一些由于Web應(yīng)用程序漏洞產(chǎn)生的安全威脅,最典型的就
是現(xiàn)在四處肆虐網(wǎng)站建設(shè)的跨站攻擊����。
這個名為“內(nèi)容安全策略”(Content Security Policy)項目的宗旨是提供一種機(jī)制�,能夠讓各站點
明確標(biāo)示出哪些內(nèi)容是合法的,從而杜絕跨站攻擊���。它也可以用于防范點擊劫持 (clickjacking)和數(shù)據(jù)
包嗅探攻擊(packet sniffing attack)。
通過以下手段���,“內(nèi)容安全策略”使得服務(wù)器管理員可以減少甚至消除跨站攻擊:
1.網(wǎng)站管理員指定哪些番禺做網(wǎng)站公司域是可信的腳本來源�。
2.瀏覽器只執(zhí)行來自白名單地址的腳本文件�,其它的如內(nèi)嵌腳本和HTML元素的事 件處理屬性這些,
全都會被忽略�。
注意:在“內(nèi)容安全策略”(CSP)中,不使用HTML屬性并不會番禺網(wǎng)頁設(shè)計影響事件處理機(jī)�����。
3.那些不想在頁面內(nèi)包含JavaScript代碼的網(wǎng)站可以關(guān)閉全部的腳本功能�����。
所謂點擊劫持����,是指使用一個不可見的����、隱藏的有害頁面���,去響應(yīng)用戶的點擊�。為了避免點擊劫持�����,
Mozilla的“內(nèi)容安全策略”將會允許站點指定哪些地址可以嵌入資源����。
開源集團(tuán)(open-source group)介紹,“內(nèi)容安全策略”將完全向番禺網(wǎng)頁設(shè)計后兼容���,對那些不支持這一特性的
網(wǎng)站也完全兼容���。
粵公網(wǎng)安備44011302004697
