助網站預防 XSS  Google 推出 CSP 檢驗工具

XSS 是常見的網頁漏洞之一,如要預防可在 HTTP Header 加入 Content Security Policies(CSP)。Google 日前推出新工具,管理員可檢驗網站的 CSP 成效,確保不會因設定不當而失去保護。

XSS 是常見的網頁漏洞之一,如要預防可在 HTTP Header 加入 Content Security Policies(CSP)。Google 日前推出新工具,管理員可檢驗網站的 CSP 成效,確保不會因設定不當而失去保護。

 

Google 推出了 CSP Evaluator ,管理員把網址貼上便可檢驗 CSP 的成效;此外亦有 Chrome 瀏覽器插件 CSP Mitigator 。

XSS 一直是網站常見的漏洞。Google 稱,過去兩年他們已就研究人員回報 Google 網頁的 XSS 漏洞頒發 120 萬美元獎金。

使用 CSP 是預防 XSS 的方法之一,然而 Google 表示,10 億個域名之中 95% 的 CSP 未能有效預防 XSS。其中一個根本原因是,15 個最多人用作載入外部 script 而加入白名單的域名之中,有 14 個都可讓攻擊者繞過 CSP 。

Source : Google