Mit der Version 4 unterstützt der Webbrowser Firefox nun auch Content Security Policy (CSP)-Funktionalitäten. Das Verfahren wird eingesetzt, um den Internet-Nutzer beim Surfen im Internet vor Cross-Site Scripting (XSS)-Angriffen zu schützen. Website-Betreiber stellen hierzu einen HTTP-Header „X-Content-Security-Policy“ bereit, der den Firefox 4 darüber in Kenntnis setzt, welche Inhalte er beim Website-Aufruf ausführen darf. So umfasst die CSP in Gestalt einer Whitelist eine Aufzählung von Domains und Verzeichnissen, die der Browser als Quelle vertrauenswürdiger Objekte und Codes akzeptieren soll.
Der Firefox 4 ignoriert Skripte und JavaScript-Code auf HTML-Seiten, sofern die CSP-Funktion aktiviert ist, sogar standardmäßig. Lediglich die in der vom Website-Betreiber hinterlegten Whitelist genannten und somit signierten Inhalte werden zur Ausführung gebracht. Hierzu müssen sie HTML- und JavaScript-Code auf ihren Seiten konsequent voneinander trennen, letztere in eigene Dateien auslagern und separat in Verzeichnissen hinterlegen. Diese werden dann erst nach dem Laden der Seite durch den Browser aus den in der CSP benannten, legitimen Quellen nachgeladen und ausgeführt.
Das Verfahren lässt sich auch auf Bilder, Stylesheets, Frames, Fonts und weitere Objekte ausweiten, in denen möglicher Schadcode praktisch eingebettet werden kann. Anders als bei beispielsweise NoScript oder RequestPolicy muss der Nutzer bei der Abwehr möglicher XSS-Attacken demnach nicht mehr selbst über die Vertrauenswürdigkeit von extern eingebundenen Inhalten entscheiden. Der Website-Betreiber zeichnet hierfür verantwortlich, was der Akzeptanz von Content Security Policy bei Internet-Nutzern einen Schub geben dürfte. Für Webseite-Betreiber sind im Übrigen bereits entsprechende Werkzeuge im Internet verfügbar, die sie dabei unterstützen, die für CSP notwendigen Änderungen an ihren Seiten vorzunehmen. Der Erfolg von CSP wird aber hauptsächlich davon abhängig sein, ob auch die anderen Browser-Hersteller das Verfahren in ihre Produkte integrieren werden.
Lesen Sie mehr zum Thema Cross-Site Scripting in der nächsten Ausgabe von hakin9. In seinem Beitrag „Von Backslashing bis Content Security Policy: Wirksamer Schutz vor Cross-Site Scripting“ wird der Internet-Security-Experte Christian Heutger von der PSW GROUP erklären, wie die unterschiedlichen XSS-Angriffsmethoden funktionieren, welche Maßnahmen es gegen derartige Attacken gibt und natürlich darüber hinaus auf das Content Security Policy-Verfahren eingehen.
