內容安全政策 1.0 已正式上線

Mike West

成功!W3C 已通過內容安全政策 1.0 規格 (從工作草稿到候選建議),並發出導入要求通話。跨網站指令碼攻擊與過去 (多數) 事件相似。

Chrome Canary 和 WebKit 夜間支援無前置字串的 Content-Security-Policy 標頭,並且會使用前置字串的 X-WebKit-CSP 標頭來開始實驗內容安全政策 1.1 中指定的一些新行為。而不是以下列方式編寫:

X-WebKit-CSP: script-src 'self'; object-src 'none'

您將寫道:

Content-Security-Policy: script-src 'self'; object-src 'none'

我們希望其他瀏覽器廠商會在後續的修訂版本中陸續跟進,因此建議您立即開始傳送標準標頭。

內容是否安全?

內容安全政策!這項技術能降低應用程式遭到跨網站指令碼攻擊和其他內容植入攻擊的風險。在保護使用者方面,這是我們能向前邁進的重要一步,我們強烈建議您審慎考慮如何實行。如需詳細資訊,請隨時下載名稱清楚易懂的「內容安全政策簡介」。