Después de una larga espera y debate Mozilla Firefox 23, finalmente apoya Contenido de Seguridad 1.0 (CSP 1.0), un conjunto de restricción de contenido para una página web. Google Chrome e Internet Explorer 10 ya están apoyando CSP 1.0. Google Chrome añade CSP a principios de este año y de Internet Explorer 10 sigue admitiendo parcialmente.

Firefox Security

Firefox Security

Contenido de Seguridad 1.0 proporciona una experiencia de navegación segura para los usuarios mediante la prevención de los ataques de cross-site-scripting. También ayuda a que el sitio web especificando los dominios para ejecutar las secuencias de comandos en línea evitando así los ataques XSSTambién previene los ataques de inyección de código en la página web al impedir las secuencias de comandos en línea embebidos en una página HTML.

Ian Melven de Mozilla dice: “En general, CSP permite a los desarrolladores web un mayor control sobre su contenido, lo que ayuda a mitigar algunos problemas de seguridad. Una ventaja importante de la CSP es que, por defecto, se evita scripts de línea de ejecución. Esto ayuda enormemente a mitigar la amenaza de XSS (Cross Site Scripting) u otras formas de inyección de scripts “.

Sin embargo, Mozilla añadió un CSP en Firefox 4.0 en el 2011, pero no era compatible con la especificación W3C. CSP 1.0 trae especificación basada en W3C para Firefox.

El nuevo CSP 1.0 incluye muchos cambios

  • La cabecera ha sido sin prefijo
  • Los cambios en las directivas disponibles
  • Los cambios en el comportamiento por defecto
  • Cambios en Permitir comandos en línea y el uso de eval ()
  • El bloqueo de estilos en línea

La idea básica de la adición de 1,0 CSP es bloquear las secuencias de comandos no autorizados en una página web y la prevención de los ataques de ejecución de código y ataques de cross site scripting. Con el nuevo CSP 1.0 puede lista blanca de los sitios web que desee ejecutar las secuencias de comandos en línea y contenidos dentro de una página web.Ningún otro sitio web será capaz de ejecutar código en la página web.

Ahora los usuarios pueden utilizar el Contenido de Seguridad 1.0 in -

  • Firefox Firefox 23 y versiones posteriores
  • Google Chrome-Chrome 25 y versiones posteriores
  • Internet Explorer: Internet Explorer 10 y más tarde

Puedes ver el análisis detallado de los cambios en las implementaciones de nuevos CSP 1.0 del blogspost oficial de Mozilla .

Acerca de Mi Dylan Irzi

Colombiano, WebMaster, Independent Security Researcher , Apasionado por la Seguridad Informatica, #WhiteHat. Programador. Co-Fundador y Dueño de WebSecurityDev.com

Noticias Seguridad1 Comment

One thought on “Firefox ahora es compatible con CSP 1.0 para bloquear ataques XSS

  1. Pingback: Bitacoras.com

Comments are closed.