A um tempo atrás nós postamos aqui no Mundo Dos Hackers, uma notícia falando sobre uma nova medida de segurança desenvolvida pela Mozilla, essa medida tratasse da CSP (Content Security Policy – Política de Segurança de Conteúdo) e tem como objetivo bloquear ataques do tipo XSS (Cross Site Scripting).Pois bem, após algumas semanas de teste, o Twitter implementou por definitivo o Content Security Policy em seu site mobile.
Veja a explicação do Twitter de como funciona o CSP: “Em um ataque XSS típico, o atacante injeta código javascript arbitrário em uma página, que é então executado por um usuário final“. Completando: “Quando um site habilita o CSP, o navegador ignora o Javascript embutido (inline) e carrega somente os que fazem parte de um conjunto de sites na whitelist (lista branca). Habilitar o CSP em nosso site era simplesmente uma questão de incluir a política sob a chave CSP – a ‘X-Content-Security-Policy’ – nos cabeçalhos“.
O CSP realmente é um avanço significativo na luta contra ataques XSS, o Twitter implementando essa medida em seus sites, só tende trazer ainda mais segurança para os seus usuários e também para o seu próprio site.
Nenhum comentário:
Postar um comentário