Firefox想帮助网站堵上脚本攻击的漏洞

来源: LUPA开源社区

关键词: FIREFOX 攻击 漏洞 网络安全 脚本
　　《MIT技术评论》报道：用户递交内容的网站容易碰到名为跨站脚本（XSS）攻击的安全问题，Firefox的开发商Mozilla计划采用一项技术帮助屏蔽这种攻击。

　　这项技术便是内容安全策略（Content Security Policy，简写CSP），允许网站管理者指定哪些域名有权运行脚本。 跨站脚本攻击诱发了大量让人头疼的事情，社交网站和Web 2.0企业尤甚，它允许恶意使用者将代码注入到网页上，其他浏览者在观看网页时就会受到影响。

　　Mozilla的CSP计划打破传统的浏览器平等处理都有脚本的方式。它将要求参与的网站将脚本存放在单独的文件内，明确指明哪些域名可以运行脚本。Mozilla基金会安全项目经理Brandon Sterne表示，网站可以仔细考虑参与CSP的好处，如果费效比不高，它们可以一切照旧。Mozilla的内容限制安全特性还能帮助阻挡名为clickjacking的攻击。
声明：LUPA开源社区刊登此文只为传递信息，并不表示赞同或者反对。