1. Location:
  2. / Computer learning >> Datamaskin læring >> Nettleser >> firefox >>

Retningslinjer for innhold 1.0 Security gjør sin debut i Firefox

Content Security Policy 1.0 gjør sin debut i Firefox

Content Security Policy er en teknologi som nettleseren behov for å støtte for nettsteder å gjøre bruk av den. Frem til nå CSP 1.0 ble kun støttet av Google Chrome og delvis av Internet Explorer 10.

Mens Mozilla gjorde legge en implementering av SSP i Firefox 4.0 i 2011, det var ikke basert på en W3C-spesifikasjonen. Grunnen til det var at det var ingen på den tiden. Dette skjedde et halvt år senere da en arbeidsgruppe utkast ble publisert.

Når Content Security Policy 1,0 nådd kandidat iscenesette over på W3C, Google implementert den i Chrome 25. Microsoft gjorde legge til SSPs "sandbox" direktivet, men ingenting annet i Internet Explorer 10.

Mozilla kunngjorde i går at de har integrert en implementering av CSP 1,0 i Firefox. For å være presis, den funksjonen landet i Firefox 23 som er i dag hjem til Aurora-kanalen i nettleseren.

Så hva gjør CSP gjøre? Som jeg sa tidligere, er det noe som nettsteder må iverksette for å gjøre bruk av. Det gjør det mulig for webmaster å angi hvilke domener har lov til å kjøre skript og stiler på siden brukeren er på.

Ideen er å hindre cross site scripting-angrep og andre angrep som baserer seg på å kjøre kode på nettsiden fra arbeider, ved å blokkere uautoriserte skript fra å kjøre på den.

Så, hva du kan gjøre med det er å godkjenne nettsteder som får lov til å kjøre inline skript, inline stiler og inkludere innholdet i en side. Noe annet nettsted som prøver å kjøre kode på siden vil ha kode blokkert.

Utviklere som har gjort bruk av Firefox sin første implementeringen av funksjonen bør sjekke ut Mozillas sikkerhets blogg som det gir informasjon om endringene i de nye implementering og hva webmastere trenger å gjøre for å sikre at deres nettside implementering vil fortsette å jobbe etter at overgangsperioden. Her også de finne informasjon om forskjeller mellom Firefox implementering og spec.

Ytterligere informasjon kan også bli sett opp på Mozillas Developer Network eller på Github.

Det bør ikke være for problematisk selv om nettsteder er allerede bruker riktige overskrifter på grunn av Chrome og CSP 1.0.

Det er fortsatt nødvendig for nettsteder å implementere CSP riktig.


Du finner et par preferanser i about: config relatert til CSP. Det anbefales ikke å slå den av ved å sette verdien av security.csp.enable til falsk, men du kan gjøre det midlertidig hvis det oppstår feil når du bruker utvidelser eller snarveier for eksempel. Anmeldelser



Previous:
Next Page: