Mozilla的安全工程師們正在開(kāi)發(fā)新技術(shù)以避免一些由于Web應用程序漏洞產(chǎn)生的安全威脅�����,最典型的就
是現在四處肆虐網(wǎng)站建設的跨站攻擊�。
這個(gè)名為“內容安全策略”(Content Security Policy)項目的宗旨是提供一種機制���,能夠讓各站點(diǎn)
明確標示出哪些內容是合法的�����,從而杜絕跨站攻擊�����。它也可以用于防范點(diǎn)擊劫持 (clickjacking)和數據
包嗅探攻擊(packet sniffing attack)���。
通過(guò)以下手段�����,“內容安全策略”使得服務(wù)器管理員可以減少甚至消除跨站攻擊:
1.網(wǎng)站管理員指定哪些番禺做網(wǎng)站公司域是可信的腳本來(lái)源���。
2.瀏覽器只執行來(lái)自白名單地址的腳本文件���,其它的如內嵌腳本和HTML元素的事 件處理屬性這些�,
全都會(huì )被忽略�。
注意:在“內容安全策略”(CSP)中���,不使用HTML屬性并不會(huì )番禺網(wǎng)頁(yè)設計影響事件處理機�。
3.那些不想在頁(yè)面內包含JavaScript代碼的網(wǎng)站可以關(guān)閉全部的腳本功能�����。
所謂點(diǎn)擊劫持�����,是指使用一個(gè)不可見(jiàn)的���、隱藏的有害頁(yè)面�����,去響應用戶(hù)的點(diǎn)擊�。為了避免點(diǎn)擊劫持���,
Mozilla的“內容安全策略”將會(huì )允許站點(diǎn)指定哪些地址可以嵌入資源�����。
開(kāi)源集團(open-source group)介紹�,“內容安全策略”將完全向番禺網(wǎng)頁(yè)設計后兼容�����,對那些不支持這一特性的
網(wǎng)站也完全兼容�����。
粵公網(wǎng)安備44011302004697
