A Microsoft bejelentette a Content Security Policy Level 2 (CSP2) támogatását a Microsoft Edge-ben
1 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
A Windows 10 Creators Update Insider legújabb verziójával a Microsoft megkapta beleértve a tartalombiztonsági házirend 2. szintű (CSP2) támogatása a Microsoft Edge-ben (EdgeHTML 15.15002), hogy ez a legbiztonságosabb és legbiztonságosabb böngésző legyen. A CSP2 egy hatékony, mélyreható védelmi mechanizmus a webhelyek közötti szkriptelés és a tartalominjektáló támadások ellen.
A CSP lehetővé tette a webfejlesztők számára, hogy zárolják a webalkalmazásaik által felhasználható erőforrásokat, segítve ezzel a webhelyek közötti parancsfájl-támadások megelőzését, amelyek továbbra is gyakori biztonsági rések az interneten. De nehéz volt megvalósítani olyan webhelyeken, amelyek beépített szkriptelemeket tartalmaznak, amelyek vagy a szkriptforrásokra mutattak, vagy amelyek közvetlenül tartalmazták a szkriptet.
A CSP2 megkönnyíti ezeket a forgatókönyveket azáltal, hogy támogatja a szkript- és stíluserőforrásokhoz tartozó nonces-eket és hash-eket. A nonce egy titkosításilag erős véletlenszerű érték, amely minden oldalbetöltéskor generálódik, és megjelenik a CSP-házirendben és az oldal szkriptcímkéiben is. A nonces használata segíthet minimalizálni az engedélyezett forrás URL-értékek listájának fenntartását, ugyanakkor lehetővé teszi a szkriptelemekben deklarált megbízható szkriptek futtatását.
A jövőben a Microsoft azt is tervezi, hogy a CSP3 specifikációiból a szigorú dinamikus támogatást is hozzáadja, hogy a fejlesztők és webhelyadminisztrátorok csökkentsék az engedélyezési listáktól való függőségüket, és szigorítsák CSP-megvalósításaikat.