日前,Mozilla发布了首个集成了Content Security Policy(内容安全政策)机制的FireFox 3.7预览版本供开发者以及安全专家进行测试,这也是Mozilla首次尝试将CSP直接嵌入到浏览器中。
f\U(��7)2� 3JJE��j1O� Content Security Policy是Mozilla为了提高浏览器安全性开发的一套新的安全机制,该机制让网站可以定义内容安全政策,明确告知浏览器哪些内容是合法的,让浏览 器得以避开恶意内容。CSP主要锁定解决XSS及跨站冒名请求(Cross Site Request Forgery)等网络应用程序漏洞,要落实Mozilla的内容安全政策,网站及浏览器都必须支持CSP架构。
=)mA.j}E�2 
�\\UO�p��l Mozilla还建立了一个测试演示页面(如上图)用以解释如何确定代码能够被有效的拒绝,其他浏览器也可以通过分析该页面的结果来符合这一新的机制。笔者刚才使用Google Chrome在此页面上进行测试,发现只有一项测试通过,而集成CSP的FireFox 3.7预览版可以通过全部测试。
�1@�W*�fVn /c:��78@�� 需要注意的是,目前CSP并没有集成到FireFox的daily builds中,也并没有正式作为FireFox 3.7的官方组件,所以目前用户如果想在FireFox 3.7预览版中测试该功能,只能通过下载这个特别的预览版本进行测试。
微博帐号登录