正式上線!W3C 已將內容安全政策 1.0 規格從工作草稿提升為候選推薦,並發布實作呼籲。跨網站指令碼攻擊 (cross-site scripting attacks) 已逐漸成為過去式。
Chrome Canary 和 WebKit 夜間版本現在支援未加上前置字元的 Content-Security-Policy 標頭,並且會使用加上前置字元的 X-WebKit-CSP 標頭,開始嘗試 Content Security Policy 1.1 中指定的部分新行為。請改為編寫:
X-WebKit-CSP: script-src 'self'; object-src 'none'
您會寫下:
Content-Security-Policy: script-src 'self'; object-src 'none'
我們預期其他瀏覽器供應商會在接下來的幾次修訂中跟進,因此建議你從今天開始傳送標準版本標頭。
內容安全性
內容安全政策!這有助於降低應用程式遭到跨網站指令碼和其他內容注入攻擊的風險。這項功能可為使用者提供更完善的保護,因此我們強烈建議您務必導入這項功能。您可以參閱名稱相當巧妙的「內容安全性政策簡介」,瞭解所有相關細節。