2009年7月1日星期三
Firefox帮助网站堵上脚本攻击的漏洞 zz
《MIT技术评论》报道:用户递交内容的网站容易碰到名为跨站脚本(XSS)攻击的安全问题,Firefox的开发商Mozilla计划采用一项技术帮助屏蔽这种攻击。这项技术便是内容安全策略(Content Security Policy,简写CSP),允许网站管理者指定哪些域名有权运行脚本。
跨站脚本攻击诱发了大量让人头疼的事情,社交网站和Web 2.0企业尤甚,它允许恶意使用者将代码注入到网页上,其他浏览者在观看网页时就会受到影响。Mozilla的CSP计划打破传统的浏览器平等处理所有脚本的方式。它将要求参与的网站将脚本存放在单独的文件内,明确指明哪些域名可以运行脚本。Mozilla基金会安全项目经理Brandon Sterne表示,网站可以仔细考虑参与CSP的好处,如果费效比不高,它们可以一切照旧。Mozilla的内容限制安全特性还能帮助阻挡名为clickjacking的攻击。
跨站脚本攻击诱发了大量让人头疼的事情,社交网站和Web 2.0企业尤甚,它允许恶意使用者将代码注入到网页上,其他浏览者在观看网页时就会受到影响。Mozilla的CSP计划打破传统的浏览器平等处理所有脚本的方式。它将要求参与的网站将脚本存放在单独的文件内,明确指明哪些域名可以运行脚本。Mozilla基金会安全项目经理Brandon Sterne表示,网站可以仔细考虑参与CSP的好处,如果费效比不高,它们可以一切照旧。Mozilla的内容限制安全特性还能帮助阻挡名为clickjacking的攻击。
标签: Firefox XSS CSP
// 发贴者:放牛娃的春天 @ 七月 01, 2009 
订阅 博文 [Atom]