Content Security Policy (csp) är en Mozilla-initierad specifikation riktad till sajter och utvecklare av webbapplikationer, som ska kunna använda csp för att definiera vilket innehåll på sajten och vilka applikationer som är legitima.

Syftet med csp är att blockera alla skript och all skadlig kod som lagts till av hackare som lyckats göra intrång i sajter eller applikationen, uppger Mozilla. Angrepp av den typen klassificeras ofta som så kallade cross-site-scripting (xss).

Styrkan med en lösning som även implementeras på sajtnivå istället för enbart i webbläsaren är enligt Johnathan Nightingale, utvecklingsansvarig för Firefox, att man skyddar mot mer än en enda specifik attack.

– Det hjälper till att lösa cross-site-scripting, men det är mer än bara det. Det går nu stänga av allt dynamiskt på ett sådant sätt att oavsett vad som läggs till på en sajt, om det finns på sidan och det existerar policy-instruktioner i sajtens header, stänger vi av det, säger Nightingale till Computerworld.

Genom detta bollar Mozilla också över större delen av initiativet till applikationsutvecklare och webbutvecklare, som kan använda csp för att klargöra vad som hör till sajten eller inte. När Firefox besöker en csp-sajt, läser webbläsaren helt enkelt av vad som deklarerats som legitimt och ignorerar övrigt innehåll.

Förhandsversioner av Firefox finns tillgängliga för utvecklare som vill prova den nya tekniken, uppger Mozilla. När en skarp version av webbläsaren med funktionen integrerad kommer att finns är ännu inte bestämt. Enligt företaget lär det bli tidigast någon gång efter att man släppt betaversionen av Firefox 3.6, planerad för lansering den 13 oktober 2009.

En demonstration av tekniken har skapats av Brandon Stern, huvudansvarig säkerhetsutvecklare på Mozilla och finns att pröva på här.