İçerik güvenliği politikası 1.0 resmen harika

Sonuçlar resmileşti. W3C, İçerik Güvenliği Politikası 1.0 spesifikasyonunu Çalışma Taslağı'ndan Aday Önerisi'ne taşımış ve uygulamalara yönelik bir çağrıda bulunmuştur. Siteler arası komut dosyası çalıştırma saldırıları (çoğunlukla) geçmişte kaldıklarına bir adım daha yakın.

Chrome Canary ve WebKit geceleri artık öneksiz Content-Security-Policy başlığını desteklemektedir ve İçerik Güvenliği Politikası 1.1 kapsamında belirtilen bazı yeni davranışlarla denemeler yapmaya başlamak için ön ekli X-WebKit-CSP üstbilgisini kullanacaktır. Yazmak yerine:

X-WebKit-CSP: script-src 'self'; object-src 'none'

Şunu yazacaksınız:

Content-Security-Policy: script-src 'self'; object-src 'none'

Önümüzdeki birkaç revizyonda diğer tarayıcı tedarikçilerinin de aynı yolu izlemesini bekleriz. Bu nedenle, standart başlığı bugün göndermeye başlamak iyi bir fikirdir.

İçerik Güvenliği Ne?

İçerik Güvenliği Politikası! Uygulamalarınızda siteler arası komut dosyası çalıştırma ve diğer içerik yerleştirme saldırıları riskini azaltmanıza yardımcı olur. Kullanıcılarınıza sunabileceğiniz koruma açısından ileriye dönük büyük bir adım olduğunu fark ettikçe bu özelliğin kullanımını dikkatli bir şekilde incelemenizi önemle tavsiye ediyoruz. Akıllıca hazırlanmış "İçerik Güvenliği Politikasına Giriş" adlı makalede tüm ayrıntıları bulabilirsiniz.