[Owasp-norway] Har Mozilla løsningen på XSS?

Harald Øygard harald at mnemonic.no
Man 22. Jun 2009 03:31:31 EDT


Hei.

Mozilla har et forslag til hvordan man skal bli kvitt XSS. Det hele
gjøres ved at javascript flyttes ut fra webserveren der applikasjonen
kjører og til en separat webserver. Samtidig må nettleseren endres til å
bare kjøre javascript fra den andre webserveren. Forsøk på å injisere
javascript i html-en vil dermed bli avvist.

For mer, se:
http://blog.mozilla.com/security/2009/06/19/shutting-down-xss-with-content-security-policy/

Dette er et veldig interessant forsøk på å løse et stort problem i mange
av dagens web-applikasjoner. Problemet blir ikke borte raskt, men dette
initiativet har muligheten til å hjelpe oss videre.

Dette initiativet kan være et tema å diskutere på neste medlemsmøte.

Mvh
Harald

-------------------------------------------------------
Harald Øygard              Email: harald at mnemonic.no
mnemonic AS                Dir: +4723204767
Wergelandsveien 25         Tel: +4798256072
NO-0167 Oslo               Fax: +4723204701
-------------------------------------------------------


Mer informasjon om epostlisten Owasp-norway.