Tin chính thức đây! W3C đã nâng cấp thông số kỹ thuật của Chính sách bảo mật nội dung 1.0 từ Bản thảo đang hoạt động lên Đề xuất đề xuất và đã đưa ra lời kêu gọi triển khai. Các cuộc tấn công tập lệnh trên nhiều trang web sắp sửa (chủ yếu) không còn xuất hiện nữa.
Chrome Canary và bản phát hành hằng đêm của WebKit hiện hỗ trợ tiêu đề Content-Security-Policy không có tiền tố và sẽ sử dụng tiêu đề X-WebKit-CSP có tiền tố để bắt đầu thử nghiệm một số hành vi mới được chỉ định trong Chính sách bảo mật nội dung 1.1. Thay vì viết:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Bạn sẽ viết:
Content-Security-Policy: script-src 'self'; object-src 'none'
Chúng tôi dự kiến các nhà cung cấp trình duyệt khác sẽ làm theo trong vài bản sửa đổi tiếp theo, vì vậy, bạn nên bắt đầu gửi tiêu đề chính tắc ngay hôm nay.
Content Securawhat?
Chính sách bảo mật nội dung! Điều này giúp bạn giảm nguy cơ bị tấn công thông qua tập lệnh trên nhiều trang web và các cuộc tấn công chèn nội dung khác trong ứng dụng. Đây là một bước tiến lớn về khả năng bảo vệ mà bạn có thể cung cấp cho người dùng. Bạn nên xem xét kỹ lưỡng việc triển khai tính năng này. Bạn có thể xem tất cả thông tin chi tiết trong bài viết có tên rất khéo léo là "Giới thiệu về Chính sách bảo mật nội dung".