Mozilla基金会已经对它的新的Content Security Policy(CSP)做了第一次说明。CSP希望能够预防跨网站脚本的攻击。CSP允许web管理者发送一个特殊的头文件(X-Content-Security-Policy：allow ‘self’)来告诉浏览器 哪个域名可以作为信任代码的来源。标准的XSS攻击有时会利用web应用程序的漏洞，在浏览器中通过可信任的域名来运行JavaScript。

使用CSP，浏览器只运行来自信任列表中的域名中的脚本，其他的所有都会被阻塞。这样允许管理者指定他们自己的服务器加载和执行脚本，例如，攻击者再也不能在HTML文件中注入攻击代码。

CSP只在特定的经过调试的浏览器中运行。新的Preview Build of Firefox已经支持该功能。但这个版本并不支持所有的特性，已经有了基本的功能。在特别 的演示网站上面，你可以测试CSP是怎么样工作的。Mozilla的安全项目的经理Brandon Sterne说他期待有更多的人参与这第一次测试，希望得到他们的评论。