Mozilla Foundation ha presentato una prima demo del suo nuovo Content Security Policy detto anche “CSP”.
Si tratta di un meccanismo che ha lo scopo di prevenire gli attacchi di tipo cross-site scripting (XSS).
In particolare CSP consente ai Web administrator di inviare uno speciale header:
X-Content-Security-Policy: allow 'self'
che è in grado di informare il browser su quali domini dovrebbe accettare come sorgente fidata per codice e script vari.
Alcuni attacchi di tipo XSS sfruttano le vulnerabilità presenti nelle applicazioni Web che consentono di eseguire codice JavaScript nel browser con i permessi dei domini fidati.
Grazie invece a CSP, il browser eseguirà unicamente script che hanno origine da domini inseriti all’interno della whitelist: tutto il resto verrà bloccato.
Questo consentirà di definire dei veri e propri “script server” da dove verranno recuperati gli script poi eseguiti.
Non sarà quindi più possibile fare script injection all’interno di file HTML.
CSP funziona unicamente in una versione apposita del browser. A questo scopo è stata “confezionata” una Preview Build di Firefox che supporti questa funzionalità.
Nonostante sia possibile effettuare i primi test è ancora troppo presto per un giudizio finale visto che la release in questione non supporta ancora tutte le specifiche previste.
È stata messa online una speciale pagina Web dove è possibile testare e verificare il corretto funzionamento di CSP.
Brandon Sterne, Security Program Manager di Mozilla, spera di ricevere al più presto le prime impressioni su questa versione “speciale” di Firefox.