É oficial! O W3C aprimorou a especificação da Política de Segurança de Conteúdo 1.0 (em inglês) do rascunho de trabalho para a recomendação do candidato e divulgou as implementações. Os ataques de scripting em vários locais estão um passo mais perto de serem (principalmente) uma coisa do passado.
O Chrome Canary e o WebKit noturnos oferecem suporte ao cabeçalho Content-Security-Policy sem prefixo e usarão o cabeçalho X-WebKit-CSP como prefixo para começar a testar o novo comportamento especificado como parte da Política de Segurança de Conteúdo 1.1. Em vez de escrever:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Você escreverá:
Content-Security-Policy: script-src 'self'; object-src 'none'
Esperamos que outros fornecedores de navegador façam o mesmo nas próximas revisões, então é uma ótima ideia começar a enviar o cabeçalho canônico hoje mesmo.
Conteúdo securawhat?
Política de Segurança de Conteúdo Ele ajuda a reduzir o risco de scripting em vários sites e outros ataques de injeção de conteúdo nos seus aplicativos. É um grande avanço em termos de proteção que você pode oferecer aos seus usuários, por isso recomendamos uma análise cuidadosa da sua implementação. Você pode conferir todos os detalhes, de forma inteligente, com o nome "Introdução à Política de Segurança de Conteúdo".