Cross-Domain anmodninger beskrive forespørgsler fra et domæne til et andet. Et typisk eksempel på dette er Facebook oplysninger på et andet domæne, for at få vist et websted tilhængere, for eksempel-eller reklame fra tredjeparts reklame selskaber.
Men disse eksempel er naturligvis ikke skadelig. Der er to typer af oplysninger, der handles, der kan være et problem for den Internet-bruger. Den første er den personlige relation. Oplysninger kan udveksles om dit besøg, så en anden enhed modtager oplysninger om, at besøge. Dette er normalt bruges til reklame formål, at spore en bruger på Internettet.
I betragtning af at du afsløre oplysninger, så snart du opretter forbindelse til et websted eller en server, og at oplysninger, omfatter din IP-adresse, placering i verden, operativsystem og sprog, det er fair at sige, at dette er et spørgsmål om privatlivets fred.
Den anden er mere farlig: ondsindede eller uønskede handlinger kan udløses ved at cross-domain-anmodning som Cross-Site Request Forgery angreb.
CSRF betragtes som meget farligt, som det fremgår af dens placering i OWASP top-10 og CWE/SANS top 25. Problemet med en CSRF-angreb er, at det gør anmodninger på vegne af den bruger, uden at hans/hendes viden. For eksempel, hvis et websted (fx example.com) gør skjulte anmodninger til en anden hjemmeside (fx myonlinebank.com det kan potentielt forårsage skadelige virkninger (overføre penge, oprette konti, …).
Firefox add-on CsFire beskytter Internet-brugere mod skadelig cross-domain anmodninger. Den add-on ophæver dem ved at fjerne godkendelse oplysninger, som cookies og godkendelsesheadere, til at fjerne muligheden for, at disse anmodninger kan være skadelige for brugeren.
CsFire giver en sikker-by-default ” – politik, som kan udvides med finkornet eksterne politikker samt finkornet lokale politikker. Den eksterne politikker, der er opnået fra en politikserver, til selektivt at tillade, at visse harmløse cross-domain anmodninger (fx deling af elementer på facebook). Den lokale politikker, som giver dig mulighed for at angive bestemte cross-domain anmodninger, der skal behandles forskelligt, bør du ønsker det (dette er ikke nødvendigt ved normal surfing scenarier).
CsFire er baseret på et akademisk forskning papir CsFire: Gennemsigtig client-side begrænsning af skadelig cross-domain anmodninger, der blev udgivet på teknisk Sikker Software og Systemer, 2010.
Den CsFire add-on er tilgængelig for alle Firefox-versioner af Firefox 3.5 til den nyeste. Det er muligt at tvinge kompatible at gøre den kompatibel med den seneste nightly builds så godt.
Opdatering: CsFire er ikke blevet opdateret siden 2012, og det er uklart på nuværende tidspunkt, hvis det stadig virker i de seneste versioner af Firefox-browseren. Mens det stadig er muligt at installere den udvidelse, er det uklart, om alle funktioner virker som annonceret. Nogle, der er synlige gøre, herunder log-fil og den eksterne server update-funktionen.
Med det sagt, det ser ud til, at add-on er opgivet, og vil ikke modtage opdateringer længere.