Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 30/3/2011
Teknologien CSP (Content Security Policy) skal sætte en stopper for angreb af typen cross-site scripting. Firefox 4 understøtter som den første browser CSP.Cross-site scripting-angreb består i, at en angriber placerer scriptkode i de data, en browser sender til en server. Når dataene vises på en ny side, afvikles koden samtidig, som om browser-brugeren havde bedt om det. På den måde kan uvedkommende få adgang til andres cookies og overtage sessioner.
Med CSP angiver serveren en politik for, hvornår scriptkode må afvikles. Som udgangspunkt skal al kode placeres i selvstændige filer i stedet for at være indlejret i HTML-koden. Derfor vil mange websider skulle omprogrammeres, hvis de skal udnytte beskyttelsen i CSP.
Firefox 4, der for nylig blev frigivet, er den første udbredte browser, der understøtter CSP.
Man kan teste, om ens browser understøtter CSP, ved at besøge en særlig testside.
Anbefaling
Brug en browser med CSP, hvis det er muligt. Endnu anvender kun få webservere teknikken, men den kan betyde løsningen på et stort sikkerhedsproblem, hvis den bliver mere udbredt.