Content Security Policy 1.0 fa il suo debutto in Firefox

by Posted on

Content Security Policy 1.0 fa il suo debutto in Firefox

Content Security Policy è una tecnologia che il browser deve supportare per i siti Web per utilizzarla. Fino ad ora CSP 1.0 era supportato solo da Google Chrome e parzialmente da Internet Explorer 10.

Sebbene Mozilla abbia aggiunto un’implementazione di CSP in Firefox 4.0 nel 2011, non era basata su una specifica W3C. Il motivo era che al momento non ce n’era nessuno. Ciò accadde sei mesi dopo, quando fu pubblicata una bozza di lavoro.

Quando la Content Security Policy 1.0 ha raggiunto la fase di candidatura al W3C, Google l’ha implementata in Chrome 25. Microsoft ha aggiunto la direttiva “sandbox” del CSP ma nient’altro in Internet Explorer 10.

Mozilla ha annunciato ieri di aver integrato un’implementazione di CSP 1.0 in Firefox. Per la precisione, la funzionalità è approdata in Firefox 23 che attualmente ospita il canale Aurora del browser.

Allora cosa fa CSP? Come ho detto prima, è qualcosa che i siti web devono implementare per utilizzarlo. Consente al webmaster di specificare a quali domini è consentito eseguire script e stili sulla pagina in cui si trova l’utente.

L’idea è di impedire il funzionamento degli attacchi di cross site scripting e di altri attacchi basati sull’esecuzione di codice sulla pagina Web, bloccando l’esecuzione di script non autorizzati su di essa.

Quindi, ciò che puoi fare con esso è autorizzare i siti che possono eseguire script in linea, stili in linea e includere contenuti all’interno di una pagina. Qualsiasi altro sito che tenta di eseguire codice nella pagina avrà l’esecuzione del codice bloccata.

Gli sviluppatori che hanno utilizzato l’implementazione iniziale di Firefox della funzione dovrebbero controllare Il blog sulla sicurezza di Mozilla poiché offre informazioni sui cambiamenti nella nuova implementazione e su ciò che i webmaster devono fare per garantire che l’implementazione del loro sito web continui a funzionare dopo il periodo di transizione. Qui trovano anche informazioni sulle differenze tra l’implementazione di Firefox e le specifiche.

È inoltre possibile cercare ulteriori informazioni Rete di sviluppatori di Mozilla o su Github.

Tuttavia, non dovrebbe essere troppo problematico se i siti utilizzano già le intestazioni corrette a causa di Chrome e CSP 1.0.

È ancora necessario che i siti Web implementino correttamente CSP.

security csp

Trovi un paio di preferenze in about: config relative a CSP. Non è consigliabile disattivarlo impostando il valore di security.csp.enable su false, ma è possibile farlo temporaneamente se si verificano errori quando si utilizzano estensioni o bookmarklet, ad esempio.

Related posts:

  1. Microsoft Internet Explorer 10 per Windows 7 finalmente rilasciato
  2. Firefox ottiene un migliore cambio di lingua dell’interfaccia e supporto per il controllo ortografico
  3. Hurrican, Turrican Remake per PC [Game Saturday]
  4. Equivalenti di Linux alle popolari app per Mac

Published by