È ufficiale. Il W3C ha avanzato la specifica dei criteri di sicurezza del contenuto 1.0 da bozza di lavoro a raccomandazione candidata e ha lanciato un invito alle implementazioni. Gli attacchi di cross-site scripting sono un passo più vicini a essere (per lo più) un ricordo del passato.
Chrome Canary e le build notturne di WebKit ora supportano l'intestazione Content-Security-Policy senza prefisso e utilizzeranno l'intestazione Content-Security-Policy con prefisso per iniziare a sperimentare alcuni nuovi comportamenti specificati nell'ambito dei Content Security Policy 1.1.X-WebKit-CSP Invece di scrivere:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Scriverai:
Content-Security-Policy: script-src 'self'; object-src 'none'
Prevediamo che altri fornitori di browser seguiranno l'esempio nelle prossime revisioni, quindi è un'ottima idea iniziare a inviare l'intestazione canonical oggi stesso.
Sicurezza dei contenuti?
Criteri di sicurezza del contenuto. Ti aiuta a ridurre il rischio di attacchi cross-site scripting e altri attacchi di inserimento di contenuti nelle tue applicazioni. Si tratta di un enorme passo avanti in termini di protezione che puoi offrire ai tuoi utenti e ti consigliamo vivamente di valutare attentamente la sua implementazione. Puoi trovare tutti i dettagli nella pagina "Introduzione alle norme sulla sicurezza dei contenuti", dal nome davvero geniale.