Content Security Policy (CSP) to przede wszystkim wprowadzenie do kodu stron internetowych nagłówka informującego przeglądarkę, która domena może być zaakceptowana jako źródło wykonywalnego kodu. Działać to będzie na prawach „białej listy” – czyli skrypty wykonywane byłyby tylko wtedy, gdyby pochodziły z domen, które znalazły się na liście. Wszystkie inne skrypty byłyby automatycznie blokowane.

Pozwalałoby to webmasterom na umieszczenie skryptów na specjalnych, bezpieczniejszych serwerach, odpowiedzialnych tylko za ich obsługę. Uniemożliwiłoby to atakującym wstrzykiwanie wrogiego kodu do dokumentów HTML. W praktyce – zakończyłoby też umieszczanie kodu JavaScript wewnątrz dokumentów HTML, strony byłyby bowiem określić się jako nie zawierające żadnego wykonywalnego kodu. Wówczas przeglądarka ignorowałaby wszelkie skrypty pojawiające się w ich kontekście.

W wypadku, gdyby przeglądarka nie natrafiła na nagłówek CSP, wykorzystywany byłyby stary mechanizm zabezpieczający, Same Origin Policy. Z kolei starsze przeglądarki po prostu ignorowałyby nagłówek. Zapewniałoby to pełną wsteczną kompatybilność, w żaden sposób nie zmuszając webmasterów do przerabiania niezliczonej ilości istniejących witryn WWW.

Content Security Policy ma także chronić przed atakami ClickJacking i automatycznie wymuszać przekierowanie ze stron serwowanych po HTTP na strony serwowane po HTTPS, gdyby taka ich wersja była dostępna.

Pomysł Mozilli to nie tylko jednak kwestia bezpieczeństwa, ale także wymuszenia separacji kodu i treści, co owocuje znacznie większą estetyką i łatwością utrzymania serwisów WWW. Niestety, póki co Mozilla nie podała żadnych terminów co do tego, kiedy CSP miałby zostać zaimplementowany w Firefoksie.

Więcej informacji na ten temat dostępnych jest w wiki poświęconej projektowi: https://wiki.mozilla.org/Security/CSP.

Źródło: Mozilla.org