È ufficiale. Il W3C ha portato avanti la specifica dei criteri di sicurezza del contenuto 1.0 passando da una bozza di lavoro al consiglio per i candidati e ha emesso un invito a implementare le implementazioni. Gli attacchi cross-site scripting sono un passo avanti nel tempo per diventare (soprattutto) un ricordo del passato.
I locali notturni di Chrome Canary e WebKit supportano ora l'intestazione Content-Security-Policy
senza prefisso e utilizzeranno l'intestazione X-WebKit-CSP
con prefisso per iniziare a sperimentare alcuni nuovi comportamenti specificati nell'ambito di Content Security Policy 1.1. Invece di scrivere:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Scrivi:
Content-Security-Policy: script-src 'self'; object-src 'none'
Prevediamo che altri fornitori di browser seguiranno questa strada nelle prossime revisioni, quindi è una grande idea iniziare a inviare l'intestazione canonica oggi stesso.
Proteggere i contenuti?
Criterio di sicurezza del contenuto. Consente di ridurre il rischio di cross-site scripting (XSS) e altri attacchi di iniezione di contenuti nelle tue applicazioni. Costituisce un grande passo avanti in termini di protezione che puoi offrire ai tuoi utenti e ti consigliamo vivamente di esaminarla con attenzione per implementarla. Puoi trovare tutti i dettagli nell'abilmente chiamato "An Introduction to Content Security Policy".