Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 13/6/2013
Firefox understøtter nu standarden CSP (Content Security Policy), som Chrome også anvender. Den kan forhindre skadelig script-kode i at blive udført.CSP har været under udvikling i nogle år og er nu klar i version 1.0. Google indførte den tidligere på året i Chrome version 25, og nu er Firefox også klar.
Med CSP kan en webserver angive, hvilke websteder der må afvikle script-kode på de sider, den indeholder. Dermed kan teknologien beskytte mod cross-site scripting. Hvis det lykkes en angriber at placere et link til et eksternt script via cross-site scripting, vil dette script ikke blive udført, fordi den eksterne server ikke er godkendt.
Der er nogle mindre ændringer i den endelige version af CSP i forhold til den tidlige udgave, som Firefox har understøttet i to år. Dem gennemgår Mozillas udviklere i et blogindlæg.
En arbejdsgruppe under W3C (World Wide Web Consortium) er i gang med at udvikle CSP 1.1.
Anbefaling
Brug en browser med CSP til at beskytte mod cross-site scripting.