XSS 是常見的網頁漏洞之一,如要預防可在 HTTP Header 加入 Content Security Policies(CSP)。Google 日前推出新工具,管理員可檢驗網站的 CSP 成效,確保不會因設定不當而失去保護。
Google 推出了 CSP Evaluator ,管理員把網址貼上便可檢驗 CSP 的成效;此外亦有 Chrome 瀏覽器插件 CSP Mitigator 。
XSS 一直是網站常見的漏洞。Google 稱,過去兩年他們已就研究人員回報 Google 網頁的 XSS 漏洞頒發 120 萬美元獎金。
使用 CSP 是預防 XSS 的方法之一,然而 Google 表示,10 億個域名之中 95% 的 CSP 未能有效預防 XSS。其中一個根本原因是,15 個最多人用作載入外部 script 而加入白名單的域名之中,有 14 個都可讓攻擊者繞過 CSP 。
Source : Google