Het is officieel! Het W3C heeft de Content Security Policy 1.0-specificatie ontwikkeld van Working Draft naar Candidate Recommendation, en een oproep gedaan voor implementaties . Cross-site scripting-aanvallen zijn een stap dichter bij het (grotendeels) verleden tijd.
Chrome Canary en WebKit nightlies ondersteunen nu de niet-voorgefixeerde Content-Security-Policy
header, en zullen de voorgefixeerde X-WebKit-CSP
header gebruiken om te gaan experimenteren met nieuw gedrag dat wordt gespecificeerd als onderdeel van Content Security Policy 1.1 . In plaats van te schrijven:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Je schrijft:
Content-Security-Policy: script-src 'self'; object-src 'none'
We verwachten dat andere browserleveranciers dit voorbeeld zullen volgen binnen de komende paar herzieningen, dus het is een goed idee om vandaag nog te beginnen met het verzenden van de canonieke header.
Inhoud Veiligwat?
Inhoudsbeveiligingsbeleid! Het helpt u het risico op cross-site scripting en andere inhoudinjectieaanvallen in uw applicaties te verminderen. Het is een enorme stap voorwaarts in termen van de bescherming die u uw gebruikers kunt bieden, en we raden u ten zeerste aan om goed te kijken naar de implementatie ervan. U kunt alle details vinden in het zo slim genaamde "An Introduction to Content Security Policy" .