رسمی است! W3C مشخصات Content Security Policy 1.0 را از Working Draft به Candidate Recommendate ارتقا داده است و فراخوانی برای پیاده سازی صادر کرده است . حملات اسکریپت نویسی بین سایتی یک قدم به گذشته نزدیکتر شده اند.
شبهای Chrome Canary و WebKit اکنون از سرصفحه Content-Security-Policy بدون پیشوند پشتیبانی میکنند و از سربرگ پیشوند X-WebKit-CSP برای شروع آزمایش برخی رفتارهای جدید که به عنوان بخشی از خطمشی امنیت محتوا 1.1 مشخص شده است استفاده میکنند. به جای نوشتن:
X-WebKit-CSP: script-src 'self'; object-src 'none'
خواهید نوشت:
Content-Security-Policy: script-src 'self'; object-src 'none'
ما انتظار داریم که سایر فروشندگان مرورگر در چند بازبینی بعدی از این روند پیروی کنند، بنابراین ایده خوبی است که از امروز شروع به ارسال هدر متعارف کنید.
محتوا امن است؟
سیاست امنیتی محتوا! این به شما کمک می کند تا خطر اسکریپت بین سایتی و سایر حملات تزریق محتوا را در برنامه های خود کاهش دهید. این یک گام بزرگ رو به جلو از نظر محافظتی است که می توانید به کاربران خود ارائه دهید، و ما به شدت توصیه می کنیم که به اجرای آن دقت کنید. شما میتوانید تمام جزئیات را در «مقدمهای بر خطمشی امنیت محتوا» با نام هوشمندانه دریافت کنید.