ประกาศอย่างเป็นทางการ W3C ได้ยกระดับข้อกำหนดของนโยบายรักษาความปลอดภัยเนื้อหา 1.0 จากฉบับร่างสำหรับใช้งานจริงเป็นข้อแนะนำสำหรับการใช้งาน และออกคำขอใช้งาน การโจมตีด้วยสคริปต์ข้ามเว็บไซต์ใกล้จะหมดไป (เกือบทั้งหมด) แล้ว
ตอนนี้ Chrome Canary และ WebKit เวอร์ชันสำหรับนักพัฒนาซอฟต์แวร์รุ่นเบต้า (Nightly) รองรับส่วนหัว Content-Security-Policy ที่ไม่มีคำนำหน้า และจะเปลี่ยนไปใช้ส่วนหัว X-WebKit-CSP ที่มีคำนำหน้าเพื่อเริ่มทดสอบลักษณะการทำงานบางอย่างที่ระบุไว้เป็นส่วนหนึ่งของนโยบายความปลอดภัยของเนื้อหา 1.1 แทนที่จะเขียน
X-WebKit-CSP: script-src 'self'; object-src 'none'
โดยคุณจะต้องเขียนข้อมูลต่อไปนี้
Content-Security-Policy: script-src 'self'; object-src 'none'
เราคาดว่าผู้ให้บริการเบราว์เซอร์รายอื่นๆ จะทําตามภายในการแก้ไข 2-3 ครั้งถัดไป ดังนั้นคุณจึงควรเริ่มส่งส่วนหัวแคนนอนิกตั้งแต่วันนี้
Content Securawhat?
นโยบายรักษาความปลอดภัยเนื้อหา ซึ่งจะช่วยคุณลดความเสี่ยงจากการโจมตีด้วยสคริปต์ข้ามเว็บไซต์และการโจมตีด้วยการแทรกเนื้อหาอื่นๆ ในแอปพลิเคชัน นี่เป็นก้าวสำคัญในการปกป้องที่คุณสามารถมอบให้แก่ผู้ใช้ และเราขอแนะนําอย่างยิ่งให้พิจารณาใช้งาน ดูรายละเอียดทั้งหมดได้ในบทความที่ชื่อเก๋ๆ อย่าง"ข้อมูลเบื้องต้นเกี่ยวกับนโยบายความปลอดภัยของเนื้อหา"