Mozilla chce pomoci bránit se proti XSS

Mozilla a její připravované Content Security Policy (CSP) má pomoci zabránit Cross-Site Scripting (XSS) útokům. CSP bude omezovat domény, které mají právo ve stránce spustit skript. Věc ve svém blogu popisuje Brandon Sterne.

Komentáře

Češtin můj kobylek :)

30.6.2009 09:24 bender
Rozbalit Rozbalit vše Re: Mozilla chce pomoci bránit se proti XSS

prsty rychlejší mozku ;) (lack of coffeine...)

CSP requires that all JavaScript for a page be 1) loaded from an external file, and 2) served from an explicitly approved host. This means that all inline script, javascript: URIs, and event-handling HTML attributes will be ignored.

A jeje... Proc mi prijde, ze vetsina webu s timhle nebude pouzitelna?

We lived, we danced, we raced, we run, from the oblivion to come, Dressed for the last dance of a hundred thousand suns.

30.6.2009 11:39 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Mozilla chce pomoci bránit se proti XSS

Doporučuji specifikaci CSP. Je tam rozebráno, co půjde, co nepůjde a jak přepsat kód, aby to šlo.

Ale máte pravdu, že současný reklamní chlív skriptů, které generují skripty a vkládání kódů napříč všemi servery, není dvakrát kompatibilní. Ale je to chlív a ten se musí vyčistit!

30.6.2009 18:37 _
Rozbalit Rozbalit vše Re: Mozilla chce pomoci bránit se proti XSS

nikdo nic cistit nebude, HTML/CSS/JS je shit by default a tim take zustane. S CSP prestane vetsina stranek fungovat dokud user nezasahne manualne, ale ze by nekdo neco predelaval v existujicich projektech nebo travil vice casu u novych projektu, to ani nahodou. Kdo by to zaplatil?