【51CTO.com獨家翻譯】Mozilla的安全工程師們正在開發新技術以避免一些由于Web應用程序漏洞產生的安全威脅，最典型的就是現在四處肆虐的跨站攻擊。

這個名為“內容安全策略”(Content Security Policy)項目的宗旨是提供一種機制，能夠讓各站點明確標示出哪些內容是合法的，從而杜絕跨站攻擊。它也可以用于防范點擊劫持（clickjacking）和數據包嗅探攻擊(packet sniffing attack)。 參見：網絡攝像頭劫持演示突顯點擊劫持威脅

通過以下手段，“內容安全策略”使得服務器管理員可以減少甚至消除跨站攻擊：

1.網站管理員指定哪些域是可信的腳本來源。

2.瀏覽器只執行來自白名單地址的腳本文件，其它的如內嵌腳本和HTML元素的事 件處理屬性這些，全都會被忽略。

注意：在“內容安全策略”（CSP）中，不使用HTML屬性并不會影響事件處理機。

3.那些不想在頁面內包含JavaScript代碼的網站可以關閉全部的腳本功能。

所謂點擊劫持，是指使用一個不可見的、隱藏的有害頁面，去響應用戶的點擊。為了避免點擊劫持，Mozilla的“內容安全策略”將會允許站點指定哪些地址可以嵌入資源。

開源集團(open-source group)介紹，“內容安全策略”將完全向后兼容，對那些不支持這一特性的網站也完全兼容。

【51CTO.COM 獨家翻譯，轉載請注明出處及作者！】