Es ist offiziell: Das W3C hat die Content Security Policy 1.0-Spezifikation vom Arbeitsentwurf in den Status „Empfehlung in der Pipeline“ geändert und eine Implementierungsanfrage veröffentlicht. Cross-Site-Scripting-Angriffe sind (fast) der Vergangenheit anheimgefallen.
Chrome Canary und WebKit-Nightlies unterstützen jetzt den Content-Security-Policy-Header ohne Präfix. Mit dem X-WebKit-CSP-Header mit Präfix werden neue Funktionen getestet, die im Rahmen der Content Security Policy 1.1 festgelegt werden. Anstatt Folgendes zu schreiben:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Sie schreiben:
Content-Security-Policy: script-src 'self'; object-src 'none'
Wir gehen davon aus, dass andere Browseranbieter in den nächsten Versionen nachziehen werden. Daher sollten Sie schon heute damit beginnen, den kanonischen Header zu senden.
Content Securawhat?
Content Security Policy So lässt sich das Risiko von Cross-Site-Scripting- und anderen Content-Injection-Angriffen in Ihren Anwendungen reduzieren. Dies ist ein großer Schritt in Richtung mehr Schutz für Ihre Nutzer. Wir empfehlen Ihnen dringend, die Implementierung zu prüfen. Alle Details finden Sie im sehr treffend benannten Artikel „Einführung in die Content Security Policy“.