Это официально! W3C продвинул спецификацию Content Security Policy 1.0 из рабочего проекта в кандидатскую рекомендацию и объявил конкурс на реализацию . Атаки с использованием межсайтовых сценариев стали на шаг ближе к тому, чтобы (в основном) уйти в прошлое.
Ночные версии Chrome Canary и WebKit теперь поддерживают заголовок Content-Security-Policy без префикса и будут использовать заголовок X-WebKit-CSP с префиксом, чтобы начать экспериментировать с некоторым новым поведением, указанным как часть Content Security Policy 1.1 . Вместо того, чтобы писать:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Вы напишете:
Content-Security-Policy: script-src 'self'; object-src 'none'
Мы ожидаем, что другие поставщики браузеров последуют этому примеру в следующих нескольких версиях, поэтому начать отправку канонического заголовка — отличная идея уже сегодня.
Контент Securaчто?
Политика безопасности контента! Это помогает вам снизить риск межсайтового скриптинга и других атак путем внедрения контента в ваши приложения. Это огромный шаг вперед с точки зрения защиты, которую вы можете предложить своим пользователям, и мы настоятельно рекомендуем внимательно изучить ее реализацию. Вы можете получить все подробности в книге с таким умным названием «Введение в политику безопасности контента» .