В течение последних двух лет Google потратила 1200000 долларов на премии для исследователей, находивших уязвимости cross-site scripting (XSS). Поскольку, по мнению специалистов Google, проблема XSS такими методами определенно не может быть решена, они пошли другим путем.
В настоящее время разработчики браузеров регулярно внедряют новые технологии для того, чтобы обеспечивать безопасность пользователей. Примером такой технологии является Content Security Policy (CSP), которая дает разработчикам сайтов возможность четко объяснять браузеру, на какие адреса можно выполнять межсайтовые запросы, позволяя тем самым обеспечивать защиту от кибератак с внедрением контента, включая XSS.
По словам специалистов Google, в настоящее время 95% доменов неправильно применяют CSP. Данный вывод был сделан экспертами после того, как они провели собственное исследование, в рамках которого было проведено сканирование и анализ 1,6 миллиарда доменов. Некорректная настройка дает возможность преодолевать защиту CSP, осуществлять загрузку скриптов и проводить XSS-атаку.
Разработчики Google утверждают, что гибкость CSP влечет серьезные проблемы. С легкостью могут быть настроены политики, которые, на первый взгляд, функционируют, а в действительности не несут какой-либо пользы для безопасности.
Инструмент CSP Evaluator, который представлен в виде самостоятельного сканера и расширения для Chrome, призван оказать помощь системным администраторам в решении вышеупомянутой проблемы. CSP Evaluator дает возможность провести проверку настройки политик CSP и повысить уровень защиты сайта от XSS-атак.
Кроме того, Google советует разработчикам и администраторам обратить внимание на политики, которые завязаны на nonce. Утилита CSP Mitigator, которая также была выпущена в виде расширения для Chrome, была разработана именно для этой цели. Так, инструмент может выявлять скрипты, не имеющие корректного nonce-атрибута.