זה רשמי! ארגון W3C העביר את המפרט של Content Security Policy 1.0 מתכנון ראשוני להמלצה מועמדת, ופרסם קריאה להטמעות. תקיפות של פרצת אבטחה XSS (cross-site scripting) קרובות יותר מתמיד להפוך לנחלת העבר (בעיקר).
גרסאות Chrome Canary ו-WebKit nightlies תומכות עכשיו בכותרת Content-Security-Policy ללא קידומת, והן ישתמשו בכותרת X-WebKit-CSP עם קידומת כדי להתחיל להתנסות בהתנהגות חדשה מסוימת שצוינה כחלק ממדיניות האבטחה של תוכן 1.1. במקום לכתוב:
X-WebKit-CSP: script-src 'self'; object-src 'none'
כותבים:
Content-Security-Policy: script-src 'self'; object-src 'none'
אנחנו צופים שספקי דפדפנים אחרים ייכנסו לתמונה במהלך הגרסאות הבאות, לכן כדאי להתחיל לשלוח את הכותרת הקנונית כבר היום.
אבטחת תוכן? מה זה?
Content Security Policy! הוא עוזר לכם לצמצם את הסיכון למתקפות XSS ולהתקפות אחרות של הזרקת תוכן באפליקציות שלכם. זוהי התקדמות משמעותית מבחינת ההגנה שאפשר להציע למשתמשים, ואנחנו ממליצים מאוד לבחון את ההטמעה שלה. אתם יכולים למצוא את כל הפרטים במאמר מבוא למדיניות אבטחת תוכן.