• Twitter Implementa Content Security Policy (CSP)

    O Twitter, após algumas semanas de realização de testes, implementou o Content Security Policy (CSP) – um novo padrão desenvolvido pela Mozilla com a intenção de bloquear cross site scripting (XSS), em seu site móvel. O CSP não tem mistério em seu mecanismo de funcionamento: "Em um ataque XSS habitual, o atacante injeta código javascript arbitrário em uma página, que é então executado por um usuário final", de acordo com a explicação da equipe do Twitter.

    "Quando um site habilita o CSP, o navegador ignora o Javascript embutido (inline) e carrega somente os que fazem parte de um conjunto de sites na whitelist (lista branca). Habilitar o CSP em nosso site era simplesmente uma questão de incluir a política sob a chave CSP – a "X-Content-Security-Policy" – nos cabeçalhos."


    Saiba Mais:

    [1] Help Net Security: http://www.net-security.org/secworld.php?id=10791