공식적으로 W3C는 콘텐츠 보안 정책 1.0 사양을 초안에서 후보 권장사항으로 승격하고 구현을 요청했습니다. 교차 사이트 스크립팅 공격은 거의 과거의 유물이 될 것 같습니다.
이제 Chrome Canary 및 WebKit Nightly에서 접두사가 없는 Content-Security-Policy 헤더를 지원하며, 접두사가 있는 X-WebKit-CSP 헤더를 사용하여 콘텐츠 보안 정책 1.1의 일부로 지정된 몇 가지 새로운 동작을 실험하기 시작할 예정입니다. 다음과 같이 작성하는 대신
X-WebKit-CSP: script-src 'self'; object-src 'none'
다음과 같이 작성합니다.
Content-Security-Policy: script-src 'self'; object-src 'none'
앞으로 몇 번의 버전 업데이트 내에 다른 브라우저 공급업체도 이 조치를 따를 것으로 예상되므로 지금 바로 canonical 헤더를 전송하는 것이 좋습니다.
콘텐츠 보안이란 무엇인가요?
콘텐츠 보안 정책 이를 통해 애플리케이션에서 교차 사이트 스크립팅 및 기타 콘텐츠 삽입 공격의 위험을 줄일 수 있습니다. 이는 사용자에게 제공할 수 있는 보호 기능 측면에서 큰 진보이며, 이를 구현하는 것이 좋습니다. '콘텐츠 보안 정책 소개'에서 모든 세부정보를 확인할 수 있습니다.