CSP会是XSS的终结者一号?

关于CSP:
CSP策略使得Web前端更有序,从而更安全,这是一个好趋势,W3C已经在大力推进这样的策略:http://www.w3.org/TR/CSP/。Firefox与Chrome已经开始支持,IE 10也会开始支持。

今晚我们讨论这个时,sogl发起的这些讨论:
http://zone.wooyun.org/content/1310

CSP策略在《Web前端黑客技术揭秘》中最后一章的“迟到的CSP策略”小节有详细描述,这里不多说了,跨站师需要关注关注CSP的动态:)

你们认为呢?

注:《Web前端黑客技术揭秘》预计2012年12月份上市,由电子工业出版社出版,是我和heart的心血之作,专注Web前端的一系列安全问题(XSS/CSRF/高级钓鱼/Web蠕虫/界面伪装/Web2.0等),我们的计划是在书上市之前开始陆续讨论一些本书涉及与关心的技术点。记住:那仅是一本书!

4 comments

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据