Bezpieczniejszy Edge dzięki Content Security Policy Level 2 (CSP2)

Bezpieczniejszy Edge dzięki Content Security Policy Level 2 (CSP2)

Autor: Krzysztof Sulikowski

Opublikowano: 1/11/2017, 3:35 PM

Liczba odsłon: 2433

W ostatniej kompilacji Insider Preview (15002) w kręgu Fast pojawiło się wsparcie dla CSP2 w Microsoft Edge (EdgeHTML 15.15002). Content Security Policy Level 2 to efektywny mechanizm blokujący ataki oparte na Cross-site scriptingu (XSS) i wstrzyknięciu zawartości.

CSP wspierany jest przez wszystkie wersje Microsoft Edge i pomaga deweloperom w blokowaniu zasobów, które mogłyby zostać użyte w niepowołany sposób. Pierwsza wersja Content Security Policy była trudna w implementacji na stronach. Dopiero CSP2 posiada wsparcie dla nonce'ów i hashów związanych ze skryptami i stylami. Nonce to pod względem kryptografii silna wartość losowa, generowana na każdej stronie i pojawiająca się zarówno w zasadach CSP, jak i w tagach skryptów. Używanie nonce'ów pomaga zminimalizować konieczność zarządzania listą dozwolonych adresów URL, pozwalając jednocześnie na działanie zaufanych skryptów.

Microsoft tłumaczy, że nie poprzestaje na CSP2 i w przyszłości zamierza rozszerzyć wsparcie na kolejną iterację mechanizmu: "CSP2 jest dla Microsoft Edge ważnym krokiem w kierunku poprawy stanu bezpieczeństwa i dogłębnych możliwości obrony aplikacji webowych, jednak wciąż jest wiele do zrobienia. W dalszej kolejności skupimy się na dodaniu wsparcia dla strict-dynamic ze specyfikacji CSP3, by deweloperzy i administratorzy stron mogli w mniejszym stopniu polegać na białych listach i umocnić swoje implementację CSP".

Microsoft współpracuje z Chrome i W3C Web Platform Tests, by zapewnić międzyplatformową implementacje, a także z W3C Web Application Security Working Group, by udoskonalić Content Security Policy Level 3.

Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży
Jak wykorzystać Copilot w codziennej pracy? Kurs w przedsprzedaży

Wydarzenia