Na blogu Twitter Engineering se objevila zmínka o experimentech Twitteru s Content Security Policy (CSP), jehož podpora je součástí Firefoxu 4. Za touto specifikací se skrývá snaha o eliminaci útoků typu cross site scripting (XSS) a dalších. Pokud server technologii podporuje, může například prohlížeč ignorovat vložený JavaScriptový kód do stránky a pracovat jen s tím kódem, který se mu přesně určí.
Pro počáteční testování si vývojáři Twitteru zvolili mobilní verzi webu a v příspěvku v blogu zmiňují své zkušenosti s implementací. Kromě nutnosti eliminace přímo vloženého JavaScriptového kódu zmiňují problémy s některými rozšířeními pro Firefox, které do načtené stránky vkládají svůj vlastní kód a zmiňují též negativní zkušenosti s některými poskytovali (ISP), kteří k jejich překvapení taktéž provádí vkládání vlastního kódu.
Do budoucna by pak rádi rozšířili podporu Content Security Policy na více služeb Twitteru. Zároveň doufají, že se podpora této specifikace objeví ve více prohlížečích.
Charla
napsal(a)