C'est officiel ! Le W3C a fait passer la spécification Content Security Policy 1.0 de la version "brouillon de travail" à la "recommandation candidate" et a lancé un appel à mettre en œuvre. Les attaques par script intersites se rapprochent de l'appartenance (ou presque) du passé.
Les nuits Chrome Canary et WebKit prennent désormais en charge l'en-tête Content-Security-Policy sans préfixe et utiliseront l'en-tête X-WebKit-CSP précédé du préfixe pour commencer à tester un nouveau comportement spécifié dans la Content Security Policy 1.1. Au lieu d'écrire:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Vous allez écrire:
Content-Security-Policy: script-src 'self'; object-src 'none'
Nous attendons d'autres fournisseurs de navigateurs qu'ils agissent de la même manière dans les prochaines révisions. C'est donc une excellente idée de commencer à envoyer l'en-tête canonique dès aujourd'hui.
Que se passe-t-il si votre contenu est sécurisé ?
Content Security Policy! Elle vous aide à réduire le risque de script intersites et d'autres attaques par injection de contenu dans vos applications. Il s'agit d'une avancée majeure en termes de protection que vous pouvez offrir à vos utilisateurs, et nous vous recommandons vivement de réfléchir sérieusement à sa mise en œuvre. Pour retrouver tous les détails, lisez notre très astucieuse présentation de Content Security Policy.