Twitter habilita o Content Security Policy (CSP) em seu site mobile

O Twitter, após algumas semanas de teste, implementou o Content Security Policy (CSP) – um novo padrão desenvolvido pela Mozilla para bloquear cross site scripting (XSS), que abordamos recentemente no SegInfo – em seu site mobile.

O funcionamento do CSP é bastante simples: “Em um ataque XSS típico, o atacante injeta código javascript arbitrário em uma página, que é então executado por um usuário final”, explica a equipe do Twitter. “Quando um site habilita o CSP, o navegador ignora o Javascript embutido (inline) e carrega somente os que fazem parte de um conjunto de sites na whitelist (lista branca). Habilitar o CSP em nosso site era simplesmente uma questão de incluir a política sob a chave CSP – a ‘X-Content-Security-Policy’ – nos cabeçalhos.”

Via: Twitter tests XSS attack prevention on its mobile website