ПЕРЕНЕСИТЕ В НЬЮСЫ!!!!!  As of June 3, 2008 the Site Security Policy add-on only implements the Script-Source portion of this proposal. I will continue to implement additional features as time permits, though it is possible that the add-on will never be a complete implementation. It may be more effective to simply focus on a permanent long-term implementation.                                   -Разработчики Mozilla представили новую экспериментальную систему Site Security Policy (SSP), предназначенную для защиты пользователей от таких видов сетевых атак как межсайтовый скриптинг (XSS), CSRF (Cross Site Request Forgery, например, когда на страницу помещается img src ссылка для выполнения операции на внешнем сайте, на котором пользователь авторизирован. XSS - проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). Система также позволит защитить пользователей от выполнения поражающих браузер скриптов, загружаемых через вставленные злоумышленником блоки IFRAME или JavaScript, которыми, по опубликованной недавно статистике, заражено более полутора миллионов web-страниц, включая случаи инфицирования крупных и известных web-проектов, социальных и баннерных сетей.

Зафиксированы случаи размещения злоумышленником вредоносных HTML/JavaScript вставок в таких сервисах, как iGoogle, eBay, Roxer, Windows Live, MySpace / Facebook Widgets и т.д. Представленное SSP дополнение к браузеру Firefox, усиливает контроль над работой Web приложений, через кооперацию с владельцами сайтов. SSP позволяет явно определить список внешних ресурсов, используемых данным проектом. Таким образом, появляется возможность отличить злонамеренные вставки от полезных (баннерные сети, внешние блоки новостей), использующих загрузку кода через iframe, javascript src или img src.

Пример задания SSP политики (правила передаются браузеру через ряд дополнительных HTTP заголовков):

   // правило для script src
   X-SSP-Script-Source: allow *.example.com; deny public.example.com

   // правило для проверки допустимости межсайтовых запросов.
   // проверка запрашивается через отдельный HEAD запрос с HTTP заголовком "Policy-Query".
   X-SSP-Request-Source: deny * post; allow * get; expires 60
   X-SSP-Request-Source: allow *.example.com post,get; deny public.example.com *; expires 3600
   X-SSP-Request-Target: allow *.example.com *, deny public.example.com post

   // URI для отправки POST запроса для уведомления о нарушении заданных политик
   X-SSP-Report-URI: http://www.example.com/policy.cgi

Страница загрузки SSP плагина для Firefox-http://people.mozilla.com/~bsterne/site-security-policy/download.html