近日獲悉,Mozilla發布了首個集成了Content Security Policy(內容安全政策)機制的Firefox 3.7預覽版本供開發者以及安全專家進行測試�����,這也是Mozilla首次嘗試將CSP直接嵌入到瀏覽器中����。
官方下載:
Windows:1254264686-win32.zip
Mac OS X:1254264686-macosx.dmg
linux:1254264686-linux.tar.bz2
Content Security Policy是Mozilla為了提高瀏覽器安全性開發的一套新的安全機制��,該機制讓網站可以定義內容安全政策��,明確告知瀏覽器哪些內容是合法的����,讓瀏覽 器得以避開惡意內容��。CSP主要鎖定解決XSS及跨站冒名請求(Cross Site Request Forgery)等網絡應用程序漏洞����,要落實Mozilla的內容安全政策�����,網站及瀏覽器都必須支持CSP架構��。
圖為:Content Security Policy(內容安全政策)機制演示
Mozilla還建立了一個測試演示頁面用以解釋如何確定代碼能夠被有效的拒絕�����,其他瀏覽器也可以通過分析該頁面的結果來符合這一新的機制�����。筆者剛才使用Google Chrome在此頁面上進行測試�����,發現只有一項測試通過�����,而集成CSP的FireFox 3.7預覽版可以通過全部測試��。
需要注意的是��,目前CSP并沒有集成到FireFox的daily builds中����,也并沒有正式作為FireFox 3.7的官方組件����,所以目前用戶如果想在FireFox 3.7預覽版中測試該功能,只能通過下載這個特別的預覽版本進行測試�����。
