Une attaque de type Cross-Site Scripting ou XSS consiste à injecter du code malveillant dans un site Web afin d'exécuter un script ( souvent JavaScript ) externe à la page avec pour principal objectif le vol de données utilisateurs. Ce code peut-être véhiculé via une publicité affichée sur le site, un commentaire laissé sur un forum, une API... Les vulnérabilités XSS sont le plus souvent dues à des erreurs de codage au niveau des applications Web et permettent d'exécuter du code dans le navigateur et dans le contexte du site consulté.

Dans la lutte contre les attaques XSS, la Fondation Mozilla travaille à l'élaboration d'une technologie baptisée Content Security Policy. Ce framework doit permettre aux sites Web de se protéger contre les attaques XSS et les attaques liées. CSP permet aux développeurs d'intégrer des en-têtes HTML dans leurs sites afin que le navigateur puisse déterminer quels domaines doivent être considérés comme sûrs. Un principe qui rappelle celui d'une liste blanche où seuls les domaines autorisés peuvent être appelés dans le cadre de l'exécution d'un script à partir d'un site.

Loin de jeter la pierre aux développeurs Web, Mozilla estime qu'il est difficile de tout superviser et de filtrer tout ce qu'un utilisateur malintentionné peut mettre en ligne sur un site, à l'heure où le Web est de plus en plus interactif. La semaine dernière, Mozilla qui est en quête de commentaires sur CSP, a fait part de son implémentation dans des versions d'essai spécialement concoctées de Firefox ( version 3.7 ). Une implémentation qui n'est pas encore entièrement complète, alors qu'une page de démonstration a été mise en ligne.

Reste à savoir si d'autres navigateurs adopterons CSP. Mozilla escompte du moins que CSP devienne un standard ouvert via le W3C.