Mozilla“內(nèi)容安全策略”項(xiàng)目避免跨站攻擊威脅

Win7之家（ airtaxifl.com）：Mozilla“內(nèi)容安全策略”項(xiàng)目避免跨站攻擊威脅

Mozilla的安全工程師們正在開(kāi)發(fā)新技術(shù)以避免一些由于Web應(yīng)用程序漏洞產(chǎn)生的安全威脅，最典型的就是現(xiàn)在四處肆虐的跨站攻擊。

這個(gè)名為“內(nèi)容安全策略”(Content Security Policy)項(xiàng)目的宗旨是提供一種機(jī)制，能夠讓各站點(diǎn)明確標(biāo)示出哪些內(nèi)容是合法的，從而杜絕跨站攻擊。它也可以用于防范點(diǎn)擊劫持 (clickjacking)和數(shù)據(jù)包嗅探攻擊(packet sniffing attack)。

通過(guò)以下手段，“內(nèi)容安全策略”使得服務(wù)器管理員可以減少甚至消除跨站攻擊：

1.網(wǎng)站管理員指定哪些域是可信的腳本來(lái)源。

2.瀏覽器只執(zhí)行來(lái)自白名單地址的腳本文件，其它的如內(nèi)嵌腳本和HTML元素的事件處理屬性這些，全都會(huì)被忽略。

注意：在“內(nèi)容安全策略”(CSP)中，不使用HTML屬性并不會(huì)影響事件處理機(jī)。

3.那些不想在頁(yè)面內(nèi)包含JavaScript代碼的網(wǎng)站可以關(guān)閉全部的腳本功能。

所謂點(diǎn)擊劫持，是指使用一個(gè)不可見(jiàn)的、隱藏的有害頁(yè)面，去響應(yīng)用戶(hù)的點(diǎn)擊。為了避免點(diǎn)擊劫持，Mozilla的“內(nèi)容安全策略”將會(huì)允許站點(diǎn)指定哪些地址可以嵌入資源。

開(kāi)源集團(tuán)(open-source group)介紹，“內(nèi)容安全策略”將完全向后兼容，對(duì)那些不支持這一特性的網(wǎng)站也完全兼容。