正式に、W3C は、Content Security Policy 1.0 仕様を作業ドラフトから候補推奨に昇格させ、実装の呼びかけを発表しました。クロスサイト スクリプティング攻撃は、(ほとんど)過去のものになりつつあります。
Chrome Canary と WebKit ナイトリー版で、接頭辞のない Content-Security-Policy ヘッダーがサポートされるようになりました。また、接頭辞付きの X-WebKit-CSP ヘッダーを使用して、Content Security Policy 1.1 の一部として指定されている新しい動作のテストが開始されます。次のように記述します。
X-WebKit-CSP: script-src 'self'; object-src 'none'
次のように記述します。
Content-Security-Policy: script-src 'self'; object-src 'none'
他のブラウザ ベンダーも今後数回のリリースで対応する予定ですので、今すぐカノニカル ヘッダーの送信を開始することをおすすめします。
コンテンツ セキュリティって何?
コンテンツ セキュリティ ポリシーです。これにより、アプリケーションでクロスサイト スクリプティングなどのコンテンツ挿入攻撃を受けるリスクを軽減できます。これはユーザーに提供できる保護機能において大きな前進であり、実装を検討することを強くおすすめします。詳細については、「コンテンツ セキュリティ ポリシーの概要」をご覧ください。