Mehr Schutz für Mozilla-Nutzer vor JavaScript-Angriffen
Nutzer des Firefox können auf mehr Sicherheit vor Cross-Site-Scripting und ähnlichen Attacken per JavaScript hoffen.
Lesezeit:
1 Min.
Von
- Christian Kirsch
Eine experimentelle Version des Firefox-Browsers implementiert erstmals die Content Security Specification (CSP). CSP soll Angriffe per Cross Site Scripting (XSS) und Cross Site Request Forgery (CSRF) verhindern. Dazu beschränkt der Browser unter anderem die Möglichkeiten, Inline-Scripts zu nutzen und JavaScript-Code per eval() auszuführen.
Unterstützt der Browser die Technik, wie eine speziell präparierte Variante von Firefox 3.7, kann die Anwendung sie mit dem Header X-Content-Security-Policy: aktivieren. Ihm folgt die "Policy", die den Zugriff regelt. Einige Policy-Beispiele sind online verfügbar.
(ck)
