Mozilla的安全工程師們正在開發新技術以避免一些由于Web應用程序漏洞產生的安全威脅�����,最典型的就
是現在四處肆虐網站建設的跨站攻擊��。
這個名為“內容安全策略”(Content Security Policy)項目的宗旨是提供一種機制���,能夠讓各站點
明確標示出哪些內容是合法的�,從而杜絕跨站攻擊。它也可以用于防范點擊劫持 (clickjacking)和數據
包嗅探攻擊(packet sniffing attack)。
通過以下手段�����,“內容安全策略”使得服務器管理員可以減少甚至消除跨站攻擊:
1.網站管理員指定哪些番禺做網站公司域是可信的腳本來源���。
2.瀏覽器只執行來自白名單地址的腳本文件,其它的如內嵌腳本和HTML元素的事 件處理屬性這些,
全都會被忽略���。
注意:在“內容安全策略”(CSP)中,不使用HTML屬性并不會番禺網頁設計影響事件處理機。
3.那些不想在頁面內包含JavaScript代碼的網站可以關閉全部的腳本功能。
所謂點擊劫持����,是指使用一個不可見的��、隱藏的有害頁面,去響應用戶的點擊。為了避免點擊劫持����,
Mozilla的“內容安全策略”將會允許站點指定哪些地址可以嵌入資源。
開源集團(open-source group)介紹�,“內容安全策略”將完全向番禺網頁設計后兼容����,對那些不支持這一特性的
網站也完全兼容����。
粵公網安備44011302004697
