Jetzt ist es offiziell! Das W3C hat die Spezifikation der Content Security Policy 1.0 vom Arbeitsentwurf zur Kandidatenempfehlung übertroffen und einen Aufruf zu Implementierungen ausgesprochen. Cross-Site-Scripting-Angriffe sind der Vergangenheit (fast) einen Schritt näher gekommen.
Die nächtlichen Chrome Canary- und WebKit-Versionen unterstützen jetzt den Header Content-Security-Policy ohne Präfix und verwenden den Präfix X-WebKit-CSP, um mit einem neuen Verhalten zu experimentieren, das im Rahmen von Content Security Policy 1.1 festgelegt wird. Anstatt zu schreiben:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Sie werden Folgendes schreiben:
Content-Security-Policy: script-src 'self'; object-src 'none'
Wir gehen davon aus, dass auch andere Browser-Anbieter in den nächsten Überarbeitungen nachleben werden, daher empfehlen wir Ihnen, noch heute damit zu beginnen, den kanonischen Header zu senden.
Sicherheit für Inhalte
Content Security Policy! Sie verringern das Risiko von Cross-Site-Scripting und anderen Angriffen durch Einschleusung von Inhalten in Ihren Anwendungen. Das ist ein großer Fortschritt, was den Schutz Ihrer Nutzer angeht. Wir empfehlen Ihnen dringend, die Implementierung genau unter die Lupe zu nehmen. In der cleveren Einführung in die Content Security Policy finden Sie alle Details.