Firefox、XSS攻撃防止へ W3Cの仕様に対応 - ITmedia エンタープライズ(情報元のブックマーク数)
ついに、CSP(Content Security Policy)が普通になる時代が来たね。
米Mozilla Foundationは6月11日、Webサイト経由の攻撃阻止を目的とした仕様「Content Security Policy(CSP) 1.0」をWebブラウザのFirefoxに実装したと発表した。
Firefox、XSS攻撃防止へ W3Cの仕様に対応 - ITmedia エンタープライズ
CSPは、クロスサイトスクリプティング(XSS)やデータインジェクションなど、攻撃の常套手段として使われる手口を検出して軽減するために使われる。仕様が確定する前段階のCSPは2011年3月からFirefox 4.0に実装されていた。
2011年11月にはW3CがCSP 1.0の草案を策定し、1年後に勧告候補の段階に到達。GoogleのChromeは2013年にリリースしたChrome 25でこれをサポートし、MicrosoftのInternet Explorer(IE) 10も、CSPの「サンドボックス」ディレクティブのサポートを追加した。
FirefoxがCSP 1.0をサポートしたことにより、この機能を使うWebサイトはWebブラウザごとに複数のCSPヘッダを作成する必要がなくなり、同じCSPヘッダでFirefox、Chrome、IE 10(サンドボックスのみ)などのWebブラウザに対応できるようになったとMozillaは説明する。