正式宣布!W3C 已将内容安全政策 1.0 规范从工作草稿提升为候选推荐规范,并发出了实现规范的号召。跨站脚本攻击已离我们越来越远(在大多数情况下)。
Chrome Canary 和 WebKit 每夜 build 现在支持不带前缀的 Content-Security-Policy 标头,并将使用带前缀的 X-WebKit-CSP 标头开始试验内容安全政策 1.1 中指定的一些新行为。而应编写:
X-WebKit-CSP: script-src 'self'; object-src 'none'
您将编写以下代码:
Content-Security-Policy: script-src 'self'; object-src 'none'
我们预计其他浏览器供应商会在接下来的几个修订版中跟进这一做法,因此建议您立即开始发送规范标头。
内容安全性?
内容安全政策!这有助于降低应用遭受跨网站脚本攻击和其他内容注入攻击的风险。这对于您为用户提供保护而言是一大进步,我们强烈建议您仔细考虑实现该功能。您可以参阅名为“内容安全政策简介”的文件,了解所有详细信息。