Sudah resmi. W3C telah meningkatkan spesifikasi Content Security Policy 1.0 dari Draf Kerja menjadi Rekomendasi Calon, dan mengeluarkan panggilan untuk implementasi. Serangan pembuatan skrip lintas situs (sebagian besar) akan segera menjadi masa lalu.
Chrome Canary dan WebKit nightlies kini mendukung header Content-Security-Policy tanpa awalan, dan akan menggunakan header X-WebKit-CSP dengan awalan untuk mulai bereksperimen dengan beberapa perilaku baru yang ditentukan sebagai bagian dari Kebijakan Keamanan Konten 1.1. Daripada menulis:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Anda akan menulis:
Content-Security-Policy: script-src 'self'; object-src 'none'
Kami memperkirakan vendor browser lain akan mengikutinya dalam beberapa revisi mendatang, jadi sebaiknya mulai kirim header kanonis sekarang.
Keamanan Konten?
Kebijakan Keamanan Konten. Hal ini membantu Anda mengurangi risiko serangan skrip lintas situs dan serangan injeksi konten lainnya di aplikasi Anda. Ini adalah langkah besar dalam hal perlindungan yang dapat Anda tawarkan kepada pengguna, dan sebaiknya Anda mempertimbangkan untuk menerapkannya. Anda bisa mendapatkan semua detailnya di "Pengantar Kebijakan Keamanan Konten" yang sangat cerdik namanya.