Microsoft oznamuje podporu pre politiku zabezpečenia obsahu Level 2 (CSP2) v Microsoft Edge
1 min. čítať
Publikované dňa
Zdieľajte tento článok
Vylepšite túto príručku
Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac
S najnovšou zostavou Windows 10 Creators Update Insider má spoločnosť Microsoft zahrnutá podpora pre politiku zabezpečenia obsahu úrovne 2 (CSP2) v Microsoft Edge (EdgeHTML 15.15002), aby sa stal najbezpečnejším a najbezpečnejším prehliadačom. CSP2 je účinný hĺbkový ochranný mechanizmus proti skriptovaniu medzi stránkami a útokom na vstrekovanie obsahu.
CSP umožnila webovým vývojárom uzamknúť zdroje, ktoré môže použiť ich webová aplikácia, čím pomohla predchádzať útokom skriptovania medzi stránkami, ktoré zostávajú bežnou zraniteľnosťou na webe. Bolo to však ťažké implementovať na webové stránky s vloženými prvkami skriptu, ktoré buď odkazovali na zdroje skriptov, alebo ktoré obsahovali skript priamo.
CSP2 uľahčuje tieto scenáre pridaním podpory nonces a hash zdrojov skriptov a štýlov. Nonce je kryptograficky silná náhodná hodnota vygenerovaná pri každom načítaní stránky, ktorá sa objavuje v politike CSP aj v značkách skriptu na stránke. Používanie nonces môže pomôcť minimalizovať udržiavanie zoznamu povolených zdrojových hodnôt URL a zároveň umožniť spustenie dôveryhodného skriptu deklarovaného v prvkoch skriptu.
V budúcnosti spoločnosť Microsoft tiež plánuje pridať podporu pre prísnu dynamiku zo špecifikácie CSP3, aby umožnila vývojárom a správcom stránok znížiť závislosť na zoznamoch povolených a sprísniť implementáciu CSP.
