זה רשמי! ארגון W3C העביר את המפרט של Content Security Policy 1.0 מתכנון ראשוני להמלצה מועמדת, ופרסם קריאה להטמעות. תקיפות של פרצת אבטחה XSS (cross-site scripting) קרובות יותר מתמיד להפוך לנחלת העבר (בעיקר).
גרסאות Chrome Canary ו-WebKit nightlies תומכות עכשיו בכותרת Content-Security-Policy ללא קידומת, והן ישתמשו בכותרת X-WebKit-CSP עם קידומת כדי להתחיל להתנסות בהתנהגות חדשה מסוימת שצוינה כחלק מ-Content Security Policy 1.1. במקום לכתוב:
X-WebKit-CSP: script-src 'self'; object-src 'none'
כותבים:
Content-Security-Policy: script-src 'self'; object-src 'none'
אנחנו צופים שספקי דפדפנים אחרים ייכנסו לתמונה במהלך הגרסאות הבאות, לכן כדאי להתחיל לשלוח את הכותרת הקנונית כבר היום.
אבטחת תוכן? מה זה?
Content Security Policy! היא עוזרת לצמצם את הסיכון למתקפות XSS ולהתקפות אחרות של הזרקת תוכן באפליקציות. זוהי התקדמות משמעותית מבחינת ההגנה שאפשר להציע למשתמשים, ואנחנו ממליצים מאוד לבחון את ההטמעה שלה. אפשר למצוא את כל הפרטים במאמר מבוא למדיניות אבטחת תוכן.