La Política de Seguridad del Contenido 1.0 es oficialmente increíble

Es oficial. El W3C adelantó la especificación de la Política de Seguridad del Contenido 1.0 de borrador a recomendación de candidato y emitió una llamada para realizar implementaciones. Los ataques de secuencias de comandos entre sitios están un paso más cerca de ser (casi) algo del pasado.

Las versiones nocturnas de Chrome Canary y WebKit ahora admiten el encabezado Content-Security-Policy sin prefijo y usarán el encabezado X-WebKit-CSP con prefijo para comenzar a experimentar con el comportamiento nuevo que se especifica como parte de la Política de Seguridad del Contenido 1.1. En lugar de escribir:

X-WebKit-CSP: script-src 'self'; object-src 'none'

Escribirás lo siguiente:

Content-Security-Policy: script-src 'self'; object-src 'none'

Esperamos que otros proveedores de navegadores hagan el mismo seguimiento en las próximas revisiones, por lo que te recomendamos que empieces a enviar el encabezado canónico hoy mismo.

¿Cuál es el seguro del contenido?

¡Política de Seguridad del Contenido! Te ayuda a reducir el riesgo de secuencias de comandos entre sitios y otros ataques de inserción de contenido en tus aplicaciones. Es un gran avance en cuanto a la protección que puedes ofrecer a tus usuarios, por lo que te recomendamos que analices en detalle su implementación. Puedes obtener todos los detalles en esta tan ingeniosa serie llamada "Introducción a la Política de Seguridad del Contenido".