עכשיו זה רשמי! ארגון W3C קידם את המפרט של Content Security Policy 1.0 מ'טיוטת עבודה' ל'המלצה על מועמדים', ושלח הודעה בנוגע להטמעות. התקפות סקריפטים חוצי-אתרים הן צעד אחד קרוב יותר להיות (לרוב) נחלת העבר.
Chrome Canary ו-WebKit Nightlies תומכים עכשיו בכותרת Content-Security-Policy ללא קידומת, ותשתמשו בכותרת X-WebKit-CSP עם התחילית כדי להתחיל לנסות התנהגות חדשה שמצוינת כחלק ממדיניות אבטחת תוכן 1.1. במקום לכתוב:
X-WebKit-CSP: script-src 'self'; object-src 'none'
יהיה כתוב:
Content-Security-Policy: script-src 'self'; object-src 'none'
אנו מצפים שספקי דפדפנים אחרים יפעלו בהתאם לגרסאות קודמות, לכן כדאי להתחיל לשלוח את הכותרת הקנונית עוד היום.
תוכן Securawhat?
Content Security Policy! הוא עוזר להפחית את הסיכון לסקריפטים חוצי-אתרים ולמתקפות אחרות של החדרת תוכן באפליקציות שלכם. מדובר בצעד גדול קדימה מבחינת ההגנה שאתם יכולים להציע למשתמשים, ומומלץ מאוד לנסות ליישם אותה. אפשר לקבל את כל הפרטים בצורה חכמה יותר בשם "מבוא למדיניות אבטחת תוכן".