To już pewne! Organizacja W3C zmieniła specyfikację Content Security Policy 1.0 z wersji roboczej do rekomendacji dla kandydatów i ogłosiła wezwanie do wdrożenia. Ataki typu cross-site scripting są o krok bliżej (przeważnie) do przeszłości.
Zapisy nocne w Chrome Canary i WebKit obsługują teraz nagłówek Content-Security-Policy bez prefiksu i będą używać nagłówka X-WebKit-CSP poprzedzonego prefiksem, aby rozpocząć eksperymentowanie z nowym działaniem określonym w Polityce bezpieczeństwa treści 1.1. Zamiast pisać:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Napiszesz:
Content-Security-Policy: script-src 'self'; object-src 'none'
Spodziewamy się, że inni dostawcy przeglądarek uwzględnią ich w najbliższych wersjach, więc warto zacząć wysyłać nagłówek kanoniczny już dziś.
Treści Securawhat?
Content Security Policy. Pomaga on zmniejszyć ryzyko ataków typu cross-site scripting i innych ataków polegających na wstrzykiwaniu treści w aplikacjach. To ogromny krok naprzód w kwestii ochrony, jaką możesz zaoferować użytkownikom. Zdecydowanie zalecamy jej dokładne wdrożenie. Wszystkie szczegóły znajdziesz na stronie „An Introduction to Content Security Policy” (Wprowadzenie do polityki bezpieczeństwa treści).