Mozilla浏览器引入新技术处理跨站脚本漏洞威胁

Mozilla浏览器引入新技术处理跨站脚本漏洞威胁 Mozilla的安全工程师们正在开发新技术以避免一些由于Web应用程序漏洞产生的安全威胁，最典型的就是现在四处肆虐的跨站安全。

　　这个名为“内容安全策略”(Content Security Policy)项目的宗旨是提供一种机制，能够让各站点明确标示出哪些内容是合法的，从而杜绝跨站安全。它也可以用于防范点击劫持（clickjacking）和数据包嗅探安全(packet sniffing attack)。 参见：网络摄像头劫持演示突显点击劫持威胁

　　通过以下手段，“内容安全策略”使得服务器管理员可以减少甚至消除跨站安全：

　　1.网站管理员指定哪些域是可信的脚本来源。

　　2.浏览器只执行来自白名单地址的脚本文件，其它的如内嵌脚本和HTML元素的事 件处理属性这些，全都会被忽略。

　　注意：在“内容安全策略”（CSP）中，不使用HTML属性并不会影响事件处理机。

　　3.那些不想在页面内包含JavaScript代码的网站可以关闭全部的脚本功能。

　　所谓点击劫持，是指使用一个不可见的、隐藏的有害页面，去响应用户的点击。为了避免点击劫持，Mozilla的“内容安全策略”将会允许站点指定哪些地址可以嵌入资源。

　　开源集团(open-source group)介绍，“内容安全策略”将完全向后兼容，对那些不支持这一特性的网站也完全兼容。