Cross-Domain requests beschrijven aanvragen van het ene domein naar het andere. Een typisch voorbeeld hiervan zijn de Facebook informatie op een ander domein, om een site volgelingen bijvoorbeeld of reclame van derden reclame bedrijven.
Maar degenen die het voorbeeld is uiteraard niet schadelijk is. Er zijn twee soorten informatie die worden verhandeld dat kan een probleem zijn voor de internetgebruiker. De eerste is de privacy gerelateerd. De informatie kan worden uitgewisseld over uw bezoek zo dat een andere entiteit ontvangt gegevens over dat bezoek. Dit wordt meestal gebruikt voor reclame-doeleinden te volgen een gebruiker op het Internet.
Gezien het feit dat u onthullen informatie zodra u verbinding maakt met een website of de server, en dat de informatie omvat o.a. uw IP-adres, de plaats in de wereld, het besturingssysteem of de taal, het is eerlijk om te zeggen dat dit een privacy probleem.
De tweede is gevaarlijker: schadelijke of ongewenste acties kunnen worden geactiveerd door middel van cross-domein aanvraag, zoals Cross-Site Request Forgery aanvallen.
CSRF wordt beschouwd als zeer gevaarlijk zijn, zoals aangegeven door haar positie in de OWASP top 10 en de CWE/SANS top 25. Het probleem met een CSRF-aanval is dat het aanvragen op naam van de andere gebruiker zonder zijn/haar medeweten. Bijvoorbeeld, als een site (bijv. example.com) maakt verborgen aanvragen naar een andere site (bijv. myonlinebank.com), kan potentieel schadelijke effecten (de overdracht van middelen, het aanmaken van accounts, …).
De Firefox add-on CsFire beschermt Internet-gebruikers tegen schadelijke cross-domein aanvragen. De add-on doet ze door het verwijderen van de authenticatie-informatie zoals cookies en verificatie kop te elimineren de mogelijkheid dat deze aanvragen kunnen schadelijk zijn voor de gebruiker.
CsFire biedt een secure-by-default policy, die kan worden uitgebreid met een fijnmazig externe beleid en fijnmazig lokaal beleid. Het externe beleid, zijn verkregen van een policy server, selectief toestaan bepaalde onschadelijk cross-domain requests (bijvoorbeeld het delen van items op facebook). Het lokale beleid kunt u bepaalde cross-domain-verzoeken die dienen te worden anders behandeld, moet u dat wenst te doen (dit is niet nodig bij normaal surfen scenario ‘ s).
CsFire is gebaseerd op een wetenschappelijk onderzoek papier CsFire: Transparante client-side beperking van schadelijke cross-domain requests die werd gepubliceerd op de ontwikkeling van Veilige Software en Systemen in 2010.
De CsFire add-on is beschikbaar voor alle Firefox-versies van Firefox 3.5 naar de nieuwste. Het is mogelijk om compatibel te maken compatibel met de nieuwste nightly builds.
Update: CsFire is niet bijgewerkt sinds 2012 en het is onduidelijk op dit punt in de tijd of het werkt nog steeds in recente versies van de Firefox-browser. Terwijl het is nog steeds mogelijk om de extensie te installeren, het is onduidelijk of alle functies werken zoals geadverteerd. Sommige die zichtbaar zijn met het logboekbestand en de externe server update-functie.
Met dat gezegd, het lijkt erop dat de add-on is verlaten en ontvangt geen updates meer.