C'est officiel ! Le W3C a fait passer la spécification Content Security Policy 1.0 de l'état de projet de travail à celui de recommandation candidate et a lancé un appel à des implémentations. Les attaques par script intersites sont (presque) un souvenir du passé.
Chrome Canary et les versions nocturnes de WebKit acceptent désormais l'en-tête Content-Security-Policy sans préfixe et utiliseront l'en-tête X-WebKit-CSP avec préfixe pour commencer à tester un nouveau comportement spécifié dans le CSP 1.1. Au lieu d'écrire:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Vous écrivez:
Content-Security-Policy: script-src 'self'; object-src 'none'
Nous nous attendons à ce que d'autres fournisseurs de navigateurs suivent cette tendance dans les prochaines révisions. Il est donc judicieux de commencer à envoyer l'en-tête canonical dès aujourd'hui.
Content Security, quoi ?
Content Security Policy Il vous aide à réduire le risque d'attaques de script intersites et d'autres attaques d'injection de contenu dans vos applications. Il s'agit d'une avancée majeure en termes de protection que vous pouvez offrir à vos utilisateurs. Nous vous recommandons vivement de l'implémenter. Pour en savoir plus, consultez l'article Présentation du règlement sur la sécurité du contenu.