作者:检查网站的内容安全策略
从 Firefox 41 开始,Mozilla 提供了一个开发者工具,允许用户检查网站的安全设置。使用 GCLI(图形命令行界面),用户可以检查网站的 内容安全策略(CSP)。CSP 是一种安全概念,允许网站保护自己免受跨站脚本(XSS)攻击和其他相关攻击。CSP 允许网站作者将内容可以安全加载的来源列入白名单。浏览器会强制执行内容安全策略标头,并只允许列入白名单的资源加载到该网站。CSP 检查工具 » security csp 列出了所有列入白名单的来源。
CSP 的主要目的是保护网站免受 XSS 攻击,但保护需要以一种允许这些网站支持遗留代码的方式部署。例如,最初引入关键字“unsafe-inline”是为了支持遗留内联脚本,同时将网站过渡到使用 CSP。此关键字将所有内联脚本列入网站的白名单,但它也允许攻击者注入的脚本执行,这使得 CSP 对大多数 XSS 攻击无效。因此,CSP 开发工具不仅列出了所有列入白名单的来源,而且还为每个列入白名单的来源提供了评分,以指示保护级别。
检查网站的推荐人策略
从 Firefox 43 开始,Mozilla 公开了更多网站隐私设置,并允许用户检查 推荐人策略 » security referrer。推荐人策略允许网站对浏览器的推荐人标头进行更多控制。具体来说,它允许网站作者指示浏览器完全去除推荐人,仅在同一来源内导航时显示推荐人,等等。推荐人开发工具提供了一个示例,说明在访问不同的网站时将使用什么推荐人,允许用户和开发人员检查在点击链接时发送了什么信息。
https://www.youtube.com/watch?v=ALCU6bTojQM&feature=youtu.be
检查内容安全策略和推荐人策略只是为最终用户提供有关网页使用的安全和隐私设置的更多反馈的起点。我们希望在将来添加更多工具,以使用户能够更透明地控制他们访问的网站的安全和隐私。
关于 Christoph Kerschbaumer
内容安全技术负责人
更多 Christoph Kerschbaumer 的文章...
关于 Kate McKinley
安全 ◆ 隐私