据国外媒体报道,为了应对IE9和Chrome的挑战,Mozilla在Firefox 4中加入了一项全新的安全功能——内容安全策略(CSP)。
Mozilla安全项目主管布兰登-斯特恩(Brandon Sterne)表示:“内容安全策略主要是针对跨站脚本攻击(XSS),防止浏览器运行恶意脚本代码。Firefox浏览器将把这个策略应用到访问站点,站点网页中的恶意代码便不会被浏览器执行。”
斯特恩指出,除了防御XSS攻击,CSP还可以防护点击劫持攻击,并且将内置一个安全报告机制。
斯特恩表示:“CSP将内置一个早期警告系统,站点可以通过ping识别恶意链接。”
当然,如果网站管理员不想开启所有的CSP,他们可以只使用警告模式,这样任何信息都不会被拦截。通过CSP技术的发布,Mozilla正计划将这项技术变为一项W3C标准,让所有浏览器从中受益。
Mozilla Firefox开发总监Johnathan Nightingale表示,微软和Google已经对CSP技术表示了浓厚的兴趣。
另据报道,Firefox 4还将修复CSS长时间存在的泄露用户站点访问信息的安全漏洞。