24 августа 2007 г В новой альфа-версии браузера Firefox 3 Alpha 7 появилась поддержка черновой спецификации W3C по межсайтовым XML-запросам через HTTP (XHR), определяющая способ выполнения на веб-странице сценариев сторонних сайтов для технологии Web 2.0. Вместе с этим, атакам межсайтового выполнения сценариев (CSS/XSS) будет положен конец, утверждают разработчики браузера. Спецификация «Разрешение веб-ресурсам доступа на чтение» позволяет автору страницы определить круг сайтов, сценарии с которых будут выполняться на ней. Определение будет указываться либо в HTTP-заголовке, либо специальной командой XML. Такая реализация межсайтового доступа позволит исключить атаки CSS/XSS. Ответственность за раскрытие информации, такой, как куки и данные заголовка, будет возлагаться на разработчиков браузеров. Авторы страниц, как говорится в спецификации, также не должны считать сторонние источники доверенными и проверять контент перед тем, как разрешать его выполнение. Атаки межсайтового выполнения сценариев, или межсайтового скриптинга (CSS/XSS), возникают в результате ошибок проверки параметров, передаваемых пользователем в запросе к сайту, перед тем как вывести их на веб-страницу. Если в такой параметр встроить JavaScript, он выполнится от имени сайта, к которому обратился пользователь, и может похитить куки и другую информацию с этого сайта. Среди прочих обновлений, в Alpha 7 снова появилась поддержка протокола обмена данными для веб-сервисов - SOAP. Бета-версия Firefox 3, по словам разработчиков, выйдет тогда, когда очередная альфа-версия, выходящая каждые 6 недель, будет сочтена пригодной для широкого использования. источник http://citcity.ru/16689/
у меня уже третья есть и причём альфа 8 http://tanzwut.name/files/firefox-3.0a8pre.en-US.win32.installer.exe
http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/2007-08-23-05-trunk/ провиряй md5 cheksum.. прост на бетку не хотел выкладывать прямой линк..
Честно говоря бред... Иными словами Вебмастер сделавший и разместивший страницу, ограничивает круг сайтов, JS вставка с которых может выполняться ? Насколько я помню, XSS выполняется обычно от довереного сайта, или я что то не понял ? Ибо органичения обойдутся, как всегда ajax'ом, картинками и ифреймами.