mozilla基金會已經對它的新的 Content Security Policy (CSP)做了第一次 說明 。CSP希望能夠預防跨網站腳本的攻擊。CSP允許web管理者發送一個特殊的頭文件(X-Content-Security-Policy：allow ‘self’)來告訴瀏覽器 哪個域名可以作為信任代碼的來源。標準的XSS攻擊有時會利用web應用程序的漏洞，在瀏覽器中通過可信任的域名來運行JavaScript。

使用CSP，瀏覽器只運行來自信任列表中的域名中的腳本，其他的所有都會被阻塞。這樣允許管理者指定他們自己的服務器加載和執行腳本，例如，攻擊者再也不能在HTML文件中注入攻擊代碼。

CSP只在特定的經過調試的瀏覽器中運行。新的 Preview Build of Firefox 已經支持該功能。但這個版本并不支持所有的特性，已經有了基本的功能。在特別 的 演示網站 上面，你可以測試CSP是怎么樣工作的。Mozilla的安全項目的經理Brandon Sterne說他期待有更多的人參與這第一次測試，希望得到他們的評論。

Firefox第一次演示內容安全策略