Cross-Domain requests beskriva önskemål från en domän till en annan. Ett typiskt exempel på detta är Facebook information på en annan domän, för att visa en webbplats anhängare till exempel eller reklam från tredje part annonsföretag.
Men dessa exempel är givetvis inte skadlig. Det finns två typer av information som är föremål för handel som kan vara ett problem för Internet-användare. Den första är integritet relaterade. Information kan utbytas om ditt besök så att en annan enhet får information om att besöka. Detta är vanligtvis används för reklamändamål att spåra en användare på Internet.
Med tanke på att du avslöja information så snart du ansluter till en webbplats eller server, och den information som finns att din IP-adress, plats i världen, operativsystem eller språk, det är rättvist att säga att detta är ett intrång i den personliga integriteten.
Den andra är mer farligt: skadliga eller oönskade åtgärder som kan utlösas av cross-domain begäran som Cross-Site Request Forgery attacker.
CSRF anses vara mycket farliga, såsom framgår av dess placering i OWASP top 10 och CWE/SANS topp 25. Problemet med CSRF-attack är att det gör förfrågningar på uppdrag av användaren, utan hans/hennes kunskap. Till exempel, om en webbplats (till exempel example.com) gör dolda begär till en annan plats (t ex myonlinebank.com), det kan potentiellt orsaka skadliga effekter (överföra medel, skapa konton, …).
Firefox add-on CsFire skyddar Internet-användare mot skadlig cross-domain önskemål. Add-on upphäver dem genom att ta bort autentisering information som cookies och autentisering rubriker för att eliminera risken att dessa önskemål kan vara skadliga för användaren.
CsFire ger en säker-med-standard politik, som kan förlängas med finkornig fjärrkontrollen politik samt finkorniga lokala politiken. Fjärrkontrollen politik erhålls från en policy server, för att selektivt låta vissa ofarliga cross-domain requests (t ex att dela artiklar på facebook). Den lokala politik kan du ange vissa domäner önskemål som bör behandlas på olika sätt, bör du så önskar (detta krävs inte i normala surfar scenarier).
CsFire bygger på en akademisk uppsats CsFire: Transparent klientsidan begränsning av skadliga cross-domain requests som publicerades på Tekniska Säker Programvara och System 2010.
Den CsFire add-on är tillgänglig för alla Firefox versioner av Firefox 3.5 till den senaste. Det är möjligt att tvinga kompatibel för att göra den kompatibel med senaste nightly builds.
Uppdatering: CsFire har inte uppdaterats sedan 2012 och det är oklart på denna punkt i tid om det fortfarande fungerar i senare versioner av Firefox. Samtidigt är det fortfarande möjligt att installera tillägget, att det är oklart om alla funktioner fungerar som annonseras. Några som är synlig göra, inklusive loggfilen och fjärr-server update-funktionen.
Med detta sagt, det verkar som add-on är övergivna och kommer inte att ta emot uppdateringar längre.