Bezpieczniejszy Edge dzięki Content Security Policy Level 2 (CSP2)

Bezpieczniejszy Edge dzięki Content Security Policy Level 2 (CSP2)

 Krzysztof Sulikowski
Krzysztof Sulikowski
15:35
11.01.2017
0 komentarzy
1441 wyświetlenie

W ostatniej kompilacji Insider Preview (15002) w kręgu Fast pojawiło się wsparcie dla CSP2 w Microsoft Edge (EdgeHTML 15.15002). Content Security Policy Level 2 to efektywny mechanizm blokujący ataki oparte na Cross-site scriptingu (XSS) i wstrzyknięciu zawartości.

CSP wspierany jest przez wszystkie wersje Microsoft Edge i pomaga deweloperom w blokowaniu zasobów, które mogłyby zostać użyte w niepowołany sposób. Pierwsza wersja Content Security Policy była trudna w implementacji na stronach. Dopiero CSP2 posiada wsparcie dla nonce'ów i hashów związanych ze skryptami i stylami. Nonce to pod względem kryptografii silna wartość losowa, generowana na każdej stronie i pojawiająca się zarówno w zasadach CSP, jak i w tagach skryptów. Używanie nonce'ów pomaga zminimalizować konieczność zarządzania listą dozwolonych adresów URL, pozwalając jednocześnie na działanie zaufanych skryptów.

Microsoft tłumaczy, że nie poprzestaje na CSP2 i w przyszłości zamierza rozszerzyć wsparcie na kolejną iterację mechanizmu: "CSP2 jest dla Microsoft Edge ważnym krokiem w kierunku poprawy stanu bezpieczeństwa i dogłębnych możliwości obrony aplikacji webowych, jednak wciąż jest wiele do zrobienia. W dalszej kolejności skupimy się na dodaniu wsparcia dla strict-dynamic ze specyfikacji CSP3, by deweloperzy i administratorzy stron mogli w mniejszym stopniu polegać na białych listach i umocnić swoje implementację CSP".

Microsoft współpracuje z Chrome i W3C Web Platform Tests, by zapewnić międzyplatformową implementacje, a także z W3C Web Application Security Working Group, by udoskonalić Content Security Policy Level 3.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://blogs.windows.com/msedgedev/2017/01/10/edge-csp-2/

Polecamy również w kategorii Edge

Komentarze

Skomentuj

Autor