Firefox mit CSP steht zum Testen bereit

Content Security Policy soll XSS-Angriffe unterbinden

Mozilla hat eine Vorschau auf Firefox mit Content Security Policy (CSP) veröffentlicht. Dieser vom W3C entwickelte Standard soll Websites vor Cross-Site-Scripting-Angriffen (XSS) schützen.

Artikel veröffentlicht am ,

Da alle Daten, die den Browser erreichen, mit gleichen Privilegien behandelt werden und Zugang zum DOM erhalten - unabhängig davon, von welchem Host sie stammen -, bietet sich ein Szenario für Angriffe. Beispielsweise ist es so möglich, Browser-Session zu stehlen.

Stellenmarkt
  1. IT Systemadministrator (m/w/d)
    htp GmbH, Hannover
  2. IT-Professional/IT-Administr- ator (m/w/d)
    PETER BREHM GmbH, Weisendorf / Metropolregion Nürnberg
Detailsuche

CSP soll hier Abhilfe schaffen und stellt Webseiten einen Mechanismus zur Verfügung, mit dem sie dem Browser des Nutzers anzeigen können, welche Inhalte legitim sind. Inhalte, die von anderen Websites eingeschleust werden, kann der Browser so verwerfen.

CSP setzt voraus, dass sämtlicher Javascript-Code einer Seite aus einer externen Datei geladen wird, die von einem explizit autorisierten Host ausgeliefert wird. Inline-Javacript, URIs und Events-Handling-Attribute in HTML werden ignoriert. Nur Scriptcode, der mit einem Script-Tag von einem Host in der jeweiligen Whitelist steht, wird als valide betrachtet.

Mozilla stellt eine Firefox-Version mit CSP zum Testen bereit. Diese richtet sich in erster Linie an Sicherheitsexperten. Noch ist die Implementierung nicht komplett. Der Browser steht unter build.mozilla.org zum Download bereit. Zu Testzwecken hat Mozilla zudem eine Demoseite eingerichtet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. OpenBSD, TSMC, Deathloop: Halbleiterwerk für Automotive-Chips in Japan bestätigt
    OpenBSD, TSMC, Deathloop
    Halbleiterwerk für Automotive-Chips in Japan bestätigt

    Sonst noch was? Was am 15. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

  2. Whatsapp: Vater bekommt wegen eines Nacktfotos Ärger mit Polizei
    Whatsapp
    Vater bekommt wegen eines Nacktfotos Ärger mit Polizei

    Ein Vater nutzte ein 15 Jahre altes Nacktfoto seines Sohnes als Statusfoto bei Whatsapp. Nun läuft ein Kinderpornografie-Verfahren.

  3. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bis 21% auf Logitech, bis 33% auf Digitus - Cyber Week • Crucial 16GB Kit 3600 69,99€ • Razer Huntsman Mini 79,99€ • Gaming-Möbel günstiger (u. a. DX Racer 1 Chair 201,20€) • Alternate-Deals (u. a. Razer Gaming-Maus 19,99€) • Gamesplanet Anniversary Sale Classic & Retro [Werbung]
    •  /