यह आधिकारिक है! W3C ने कॉन्टेंट की सुरक्षा के बारे में नीति 1.0 के स्पेसिफ़िकेशन को, वर्किंग ड्राफ़्ट से बदलकर कैंडिडेट के तौर पर काम करने के सुझाव से बेहतर बनाया है. साथ ही, लागू करने के लिए एक कॉल भी जारी किया है. क्रॉस-साइट स्क्रिप्टिंग हमले अब पुरानी बात होने के एक कदम और करीब आ गए हैं.
अब Chrome कैनरी और WebKit में शामिल की जाने वाली नाइटली, बिना प्रीफ़िक्स वाले Content-Security-Policy हेडर के साथ काम करती हैं. ये ऐसी नई कार्रवाई के साथ प्रयोग शुरू करने के लिए प्रीफ़िक्स वाला X-WebKit-CSP हेडर इस्तेमाल करेंगी जिसे कॉन्टेंट की सुरक्षा के बारे में नीति 1.1 के हिस्से के तौर पर बताया जा रहा है. लिखने के बजाय:
X-WebKit-CSP: script-src 'self'; object-src 'none'
आपको यह लिखना होगा:
Content-Security-Policy: script-src 'self'; object-src 'none'
हमें उम्मीद है कि अगले कुछ बदलावों को अन्य ब्राउज़र वेंडर भी लागू करेंगे. इसलिए, आज ही कैननिकल हेडर भेजना बेहतर होगा.
किस तरह का कॉन्टेंट सुरक्षित है?
कॉन्टेंट की सुरक्षा के बारे में नीति! इससे आपके ऐप्लिकेशन में, क्रॉस-साइट स्क्रिप्टिंग और अन्य कॉन्टेंट इंजेक्शन अटैक के जोखिम को कम किया जा सकता है. यह अपने उपयोगकर्ताओं को मिलने वाली सुरक्षा की दिशा में एक बड़ा कदम है और हम इसे लागू करने के लिए एक सख्त कदम उठाने का सुझाव देते हैं. आपने काफ़ी समझदारी से इसका नाम "कॉन्टेंट की सुरक्षा के बारे में बुनियादी जानकारी" रखा है.