ตอนนี้อย่างเป็นทางการ W3C ได้เพิ่มข้อกำหนดเฉพาะของนโยบายรักษาความปลอดภัยเนื้อหา 1.0 จากฉบับร่างที่มีผลใช้งานไปจนถึงคำแนะนำผู้สมัคร และประกาศเชิญชวนให้ติดตั้งใช้งาน การโจมตีแบบ Cross-site Scripting เข้าใกล้การ (ส่วนใหญ่) เป็นเรื่องของอดีตแล้ว
ตอนนี้ Chrome Canary และ WebKit ในปัจจุบันรองรับส่วนหัว Content-Security-Policy
ที่ไม่มีคำนำหน้า และจะใช้ส่วนหัว X-WebKit-CSP
นำหน้าเพื่อเริ่มทดลองใช้ลักษณะการทำงานใหม่บางรายการที่ระบุไว้ในนโยบายรักษาความปลอดภัยเนื้อหา 1.1 แทนการเขียน:
X-WebKit-CSP: script-src 'self'; object-src 'none'
โดยคุณเขียนว่า
Content-Security-Policy: script-src 'self'; object-src 'none'
เราคาดหวังว่าผู้ให้บริการเบราว์เซอร์รายอื่นๆ จะดำเนินการตามนี้ภายในการแก้ไขสองสามครั้งถัดไป จึงเป็นความคิดที่ดีที่จะเริ่มส่งส่วนหัวตามรูปแบบบัญญัติตั้งแต่วันนี้
เนื้อหามีเหตุผลอะไรบ้าง
นโยบายรักษาความปลอดภัยเนื้อหา! วิธีนี้จะช่วยลดความเสี่ยงจากการโจมตีแบบ Cross-site Scripting และการโจมตีด้วยการแทรกเนื้อหาอื่นๆ ในแอปพลิเคชัน นี่เป็นก้าวสำคัญของการปกป้องที่คุณสามารถมอบให้แก่ผู้ใช้ และเราขอแนะนำเป็นอย่างยิ่งให้พิจารณาที่จะติดตั้งใช้งานเป็นพิเศษ คุณสามารถดูรายละเอียดทั้งหมดได้จากชื่อที่ชาญฉลาดอย่างที่ควรเป็น "ข้อมูลเบื้องต้นเกี่ยวกับนโยบายรักษาความปลอดภัยเนื้อหา"