我们正式宣布W3C 将内容安全政策 1.0 规范从“工作草案”推进到了“候选建议”部分,并发出了实施通知。跨站脚本攻击离(大多数情况下)过去又近了一步。
Chrome Canary 版和 WebKit 夜间版现在支持无前缀的 Content-Security-Policy 标头,并将使用带前缀的 X-WebKit-CSP 标头开始实验内容安全政策 1.1 中所指定的一些新行为。与其编写以下代码:
X-WebKit-CSP: script-src 'self'; object-src 'none'
您需要撰写:
Content-Security-Policy: script-src 'self'; object-src 'none'
我们预计其他浏览器供应商也会在随后的几次修订中采用同样的方法,因此最好立即开始发送规范化标头。
内容安全是什么?
内容安全政策!它可以帮助您降低应用中跨站脚本攻击和其他内容注入攻击的风险。这相当于您可以为用户提供保护方面的巨大进步,因此我们强烈建议您谨慎实施。您可以从精心命名的《内容安全政策简介》中获取所有详细信息。