To już pewne. W3C zmienił specyfikację Content Security Policy 1.0 z wersji roboczej na kandydata do rekomendacji, a następnie wydał wezwanie do wdrożenia. Ataki typu cross-site scripting są o jeden krok bliżej tego, by stać się (w większości) przeszłością.
Wersje Canary i nightly przeglądarki Chrome oraz WebKit obsługują teraz nagłówek Content-Security-Policy bez prefiksu. Będą też używać nagłówka X-WebKit-CSP z preiksem, aby rozpocząć eksperymentowanie z nowymi zachowaniami określonymi w ramach zasad dotyczących zabezpieczeń treści 1.1. Zamiast tego:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Napisz:
Content-Security-Policy: script-src 'self'; object-src 'none'
Spodziewamy się, że inni dostawcy przeglądarek wprowadzą ten standard w ciągu kilku następnych wersji, dlatego warto już dziś zacząć wysyłać nagłówek kanoniczny.
Co to jest Content Security?
Content Security Policy Pomaga to zmniejszyć ryzyko ataków typu cross-site scripting i innych ataków polegających na wstrzykiwaniu treści w aplikacje. Jest to ogromny krok naprzód w zakresie ochrony, jaką możesz zapewnić użytkownikom. Zdecydowanie zalecamy wdrożenie tej funkcji. Wszystkie szczegóły znajdziesz w bardzo dobrze nazwanym dokumencie „Wprowadzenie do zasad bezpieczeństwa treści”.