正式に、W3C は、Content Security Policy 1.0 仕様を作業ドラフトから候補推奨に進め、実装の呼びかけを発表しました。クロスサイト スクリプティング攻撃は、(ほとんど)過去のものになりつつあります。
Chrome Canary と WebKit ナイトリー版で、接頭辞のない Content-Security-Policy ヘッダーがサポートされるようになりました。また、接頭辞付きの X-WebKit-CSP ヘッダーを使用して、コンテンツ セキュリティ ポリシー 1.1 の一部として指定されている新しい動作のテストが開始されます。次のように記述します。
X-WebKit-CSP: script-src 'self'; object-src 'none'
次のように記述します。
Content-Security-Policy: script-src 'self'; object-src 'none'
他のブラウザ ベンダーも今後数回のリリースで対応する予定ですので、今すぐカノニカル ヘッダーの送信を開始することをおすすめします。
コンテンツ セキュリティって何?
コンテンツ セキュリティ ポリシーです。これにより、アプリケーションでクロスサイト スクリプティングやその他のコンテンツ挿入攻撃が発生するリスクを軽減できます。これは、ユーザーに提供できる保護機能において大きな前進であり、実装を検討することを強くおすすめします。詳細については、「コンテンツ セキュリティ ポリシーの概要」をご覧ください。