Firefox 4 e o mecanismo Content Security Policy (CSP)

Um dos novos recursos do Firefox 4 se chama Content Security Policy (CSP), que é um mecanismo que trabalha nos bastidores para evitar alguns dos ataques web-based mais graves contra usuários e sites.

Usuários do Firefox não precisam fazer nada para receber a proteção. Ela é nativa do Firefox 4 e está ativa por padrão, tornando o navegador mais seguro.

A Mozilla preparou um artigo específico para guiar os desenvolvedores web na implantação do CSP, que pode ser acessado através do Mozilla Developer Center.

É esperada uma adoção em massa do CSP. Sites populares como o Twitter já estão utilizando, além de já existirem plugins para os CMS WordPress e Drupal, além do framework web Django.

No artigo do Mozilla Developer Center alguns detalhes técnicos são esclarecidos, como o foco do mecanismo de evitar três tipos de ataque: cross site scripting (XSS), clickjacking e packet sniffing (interceptação de pacotes).

O CSP faz parte do motor Gecko 2 e está disponível também para o Thunderbird 3.3 e o SeaMonkey 2.1.

Via: Creating a Safer Web with Content Security Policy