Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 30/9/2016
Google har frigivet to værktøjer, som webudviklere og administratorer kan bruge til at beskytte mod cross-site scripting-angreb. Værktøjerne hjælper med at bruge CSP (Content Security Policy) korrekt.Med CSP (Content Security Policy) kan en udvikler begrænse, hvilke scripts der har lov til at køre på en webside. De fleste browsere understøtter CSP i større eller mindre grad.
Men det er vanskeligt at indstille CSP korrekt. Google har analyseret over en milliard domæner. På 95 procent af dem var CSP indstillet, så den ikke beskyttede effektivt mod cross-site scripting.
Med værktøjet CSP Evaluator kan man visualisere konsekvenserne af en bestemt CSP. Google bruger værktøjet internt for at sikre, at CSP beskytter effektivt.
CSP Mitigator er et andet gratis værktøj fra Google. Det er en tilføjelse til Chrome, der kan identificere problemer med en CSP i forbindelse med den aktuelle side.
Værktøjerne er gratis tilgængelige fra Google.
Anbefaling
Web-udviklere og -administratorer bør evaluere de to værktøjer fra Google.