為了防止網路惡意程式的攻擊,近年來Mozilla一直在研發一稱為內容安全政策(Content Security Policy,CSP)的架構,最近幾個月Mozilla則嘗試把CSP嵌入Firefox中,並於本周釋出預覽版,鼓勵網站開發人員及安全專家進行測試。
Mozilla表示,這幾年來跨站腳本攻擊(Cross-Site Scripting,XSS)影響了許多全球受歡迎的網站並讓使用者受害,因此Mozilla提出該架構,讓網站可以定義內容安全政策,明確告知瀏覽器哪些內容是合法的,讓瀏覽器得以避開惡意內容。
CSP主要鎖定解決XSS及跨站冒名請求(Cross Site Request Forgery)等網路應用程式漏洞,要落實Mozilla的內容安全政策,網站及瀏覽器都必須支援CSP架構。
Mozilla說明,雖然許多網站都知道相關攻擊的風險,而且也找到修補及預防漏洞的方式,但網站的規模及複雜度讓業者很難杜絕安全漏洞,而瀏覽器業者對此亦有責任。
Mozilla認為,理想的狀況是業者開發一完全沒有漏洞的網路應用程式,但在真實世界中,安全通常是來自於層層保護,CSP也僅是其中的一層,即使是沒有漏洞的網站也能受益於CSP,因為隨時可能會有新漏洞出現,網站可在修補相關漏洞前透過CSP降低使用者的安全風險。
Mozilla安全專案經理Brandon Sterne表示,此一含有CSP的Firefox版本尚未完成,仍有些粗糙,因此測試人員可能會發現當中的功能與既有的CSP規格有些落差,待別是目前尚不支援HTTP轉向功能。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
Advertisement