Content Security Policy : Mozilla veut une sécurité accrue des sites web

La fondation Mozilla travaille sur une nouvelle technologie permettant de définir le comportement du contenu d’un site web. L’idée est clairement de réduire la surface d’attaque des personnes mal intentionnées en détectant et bloquant les failles XSS (Cross-Site Scripting), injections et autres agression ou tentatives d’intrusion.

Techniquement, cette Content Security Policy est rendue possible via une en-tête HTTP nommée X-Content-Security-Policy dont les valeurs possibles sont nombreuses.

Elle offre par exemple la possibilité de bloquer ou limiter l’exécution de JavaScript ou de toute autre ressource à des noms de domaines bien définis :

X-Content-Security-Policy: allow 'self';  img-src *; script-src scripts.domainedeconfiance.com

A noter que les navigateurs ne la supportant pas ne seront pas affectés.

CSP devrait tout d’abord, et ce sans surprise, être disponible sur Firefox mais la volonté de la fondation Mozilla est bel et bien d’en faire un standard ouvert via le W3C.

Pour plus d’information, je vous invite à lire l’article du Wiki de la fondation.

Source : GNT

Baptiste Simon aka TiChou

Ingénieur développeur web dans le secteur du e-commerce et du tourisme mais avant toute chose passionné par internet et ses intarissables ressources.

Les commentaires sont fermés

Partenaires et blog à la une