Es oficial. El W3C avanzó la especificación de la Política de seguridad de contenido 1.0 del borrador de trabajo a la recomendación candidata y emitió una convocatoria para implementaciones. Los ataques de secuencias de comandos entre sitios están un paso más cerca de ser (en su mayoría) cosa del pasado.
Las versiones nocturnas de Chrome Canary y WebKit ahora admiten el encabezado Content-Security-Policy sin prefijo y usarán el encabezado X-WebKit-CSP con prefijo para comenzar a experimentar con un comportamiento nuevo que se especifica como parte de la Política de Seguridad del Contenido 1.1. En lugar de escribir lo siguiente:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Escribirás lo siguiente:
Content-Security-Policy: script-src 'self'; object-src 'none'
Esperamos que otros proveedores de navegadores sigan el ejemplo en las próximas revisiones, por lo que es una buena idea comenzar a enviar el encabezado canónico hoy mismo.
¿Qué es la seguridad del contenido?
Política de Seguridad del Contenido Te ayuda a reducir el riesgo de ataques de secuencias de comandos en sitios cruzados y otros ataques de inserción de contenido en tus aplicaciones. Es un gran paso adelante en términos de la protección que puedes ofrecer a tus usuarios, y te recomendamos que analices seriamente su implementación. Puedes obtener todos los detalles en el documento titulado "An Introduction to Content Security Policy".