É oficial. O W3C avançou a especificação da Política de segurança de conteúdo 1.0 de rascunho de trabalho para recomendação candidata e emitiu uma chamada para implementações. Os ataques de injeção de scripts entre sites estão mais próximos de serem (quase) coisa do passado.
O Chrome Canary e o WebKit nightlies agora oferecem suporte ao cabeçalho Content-Security-Policy sem prefixo e vão usar o cabeçalho X-WebKit-CSP com prefixo para começar a testar um novo comportamento especificado como parte da Política de Segurança de Conteúdo 1.1. Em vez de escrever:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Você vai escrever:
Content-Security-Policy: script-src 'self'; object-src 'none'
Esperamos que outros fornecedores de navegadores sigam o exemplo nas próximas revisões. Portanto, é uma boa ideia começar a enviar o cabeçalho canônico hoje.
O que é a segurança de conteúdo?
Política de Segurança de Conteúdo. Ele ajuda a reduzir o risco de ataques de cross-site scripting e outros ataques de injeção de conteúdo nos seus aplicativos. É um grande avanço em termos de proteção que você pode oferecer aos seus usuários, e recomendamos que você implemente essa opção. Confira todos os detalhes na Introdução à política de segurança de conteúdo.