科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全Mozilla引入技术处理跨站脚本漏洞威胁

Mozilla引入技术处理跨站脚本漏洞威胁

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Mozilla的安全工程师们正在开发新技术以避免一些由于Web应用程序漏洞产生的安全威胁,最典型的就是现在四处肆虐的跨站攻击。

作者:51CTO 来源:51CTO 2010年9月21日

关键字: 漏洞 Firefox Mozilla

  • 评论
  • 分享微博
  • 分享邮件

Mozilla的安全工程师们正在开发新技术以避免一些由于Web应用程序漏洞产生的安全威胁,最典型的就是现在四处肆虐的跨站攻击。

这个名为“内容安全策略”(Content Security Policy)项目的宗旨是提供一种机制,能够让各站点明确标示出哪些内容是合法的,从而杜绝跨站攻击。它也可以用于防范点击劫持 (clickjacking)和数据包嗅探攻击(packet sniffing attack)。

通过以下手段,“内容安全策略”使得服务器管理员可以减少甚至消除跨站攻击:

1.网站管理员指定哪些域是可信的脚本来源。

2.浏览器只执行来自白名单地址的脚本文件,其它的如内嵌脚本和HTML元素的事 件处理属性这些,全都会被忽略。

注意:在“内容安全策略”(CSP)中,不使用HTML属性并不会影响事件处理机。

3.那些不想在页面内包含JavaScript代码的网站可以关闭全部的脚本功能。

所谓点击劫持,是指使用一个不可见的、隐藏的有害页面,去响应用户的点击。为了避免点击劫持,Mozilla的“内容安全策略”将会允许站点指定哪些地址可以嵌入资源。

开源集团(open-source group)介绍,“内容安全策略”将完全向后兼容,对那些不支持这一特性的网站也完全兼容。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章