Firefox、XSS攻撃防止へ W3Cの仕様に対応

Firefoxがクロスサイトスクリプティング（XSS）やデータインジェクションなどの攻撃を防ぐための「Content Security Policy 1.0」をサポートした。

[鈴木聖子，ITmedia]

　米Mozilla Foundationは6月11日、Webサイト経由の攻撃阻止を目的とした仕様「Content Security Policy（CSP） 1.0」をWebブラウザのFirefoxに実装したと発表した。

　CSPは、クロスサイトスクリプティング（XSS）やデータインジェクションなど、攻撃の常套手段として使われる手口を検出して軽減するために使われる。仕様が確定する前段階のCSPは2011年3月からFirefox 4.0に実装されていた。

　2011年11月にはW3CがCSP 1.0の草案を策定し、1年後に勧告候補の段階に到達。GoogleのChromeは2013年にリリースしたChrome 25でこれをサポートし、MicrosoftのInternet Explorer（IE） 10も、CSPの「サンドボックス」ディレクティブのサポートを追加した。

　FirefoxがCSP 1.0をサポートしたことにより、この機能を使うWebサイトはWebブラウザごとに複数のCSPヘッダを作成する必要がなくなり、同じCSPヘッダでFirefox、Chrome、IE 10（サンドボックスのみ）などのWebブラウザに対応できるようになったとMozillaは説明する。

　CSPヘッダは現在、デスクトップ向けのFirefox 23（Aurora版）以降で利用できる。近くAndroid向けのFirefoxとFirefox OSでもサポートする予定だという。