close
企業趨勢資訊保安

助網站預防 XSS  Google 推出 CSP 檢驗工具

XSS 是常見的網頁漏洞之一,如要預防可在 HTTP Header 加入 Content Security Policies(CSP)。Google 日前推出新工具,管理員可檢驗網站的 CSP 成效,確保不會因設定不當而失去保護。

google-csp-evaluator

 

Google 推出了 CSP Evaluator ,管理員把網址貼上便可檢驗 CSP 的成效;此外亦有 Chrome 瀏覽器插件 CSP Mitigator 。

XSS 一直是網站常見的漏洞。Google 稱,過去兩年他們已就研究人員回報 Google 網頁的 XSS 漏洞頒發 120 萬美元獎金。

使用 CSP 是預防 XSS 的方法之一,然而 Google 表示,10 億個域名之中 95% 的 CSP 未能有效預防 XSS。其中一個根本原因是,15 個最多人用作載入外部 script 而加入白名單的域名之中,有 14 個都可讓攻擊者繞過 CSP 。

Source : Google

 

Tags :xss
Dennis Ma

The authorDennis Ma

為香港讀者分享各種 IT 新聞及趨勢,如企業動態、保安消息(勒索軟件、程式漏洞等)、未來科技(AR、VR、3D打印等。)、電子商貿;亦專門分享 SEO、網頁設計、社交平台推廣等心得。