Sudah resmi! W3C telah meningkatkan spesifikasi Kebijakan Keamanan Konten 1.0 dari Draf Kerja menjadi Rekomendasi Kandidat, dan menyerahkan panggilan untuk penerapan. Serangan pembuatan skrip lintas situs selangkah lebih dekat untuk menjadi (sebagian besar) sudah berlalu.
Malam Chrome Canary dan WebKit kini mendukung header Content-Security-Policy tanpa awalan, dan akan menggunakan header X-WebKit-CSP berawalan untuk mulai bereksperimen dengan beberapa perilaku baru yang ditentukan sebagai bagian dari Kebijakan Keamanan Konten 1.1. Daripada menulis:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Anda akan menulis:
Content-Security-Policy: script-src 'self'; object-src 'none'
Kami berharap vendor browser lainnya dapat mengikutinya dalam beberapa revisi berikutnya, jadi ada baiknya untuk mulai mengirim header kanonis sekarang.
Konten Securawhat?
Kebijakan Keamanan Konten! Langkah ini membantu Anda mengurangi risiko pembuatan skrip lintas situs dan serangan injeksi konten lainnya di aplikasi Anda. Ini adalah langkah maju yang besar dalam hal perlindungan yang dapat Anda tawarkan kepada pengguna, dan kami sangat menyarankan untuk memperhatikan penerapannya. Anda bisa mendapatkan semua detailnya dalam artikel berjudul "An Introduction to Content Security Policy (Pengantar Kebijakan Keamanan Konten).