Chính thức! W3C đã nâng cao quy cách kỹ thuật của Chính sách bảo mật nội dung 1.0 từ Bản nháp hoạt động thành Đề xuất cho ứng viên và đưa ra lời kêu gọi triển khai. Các cuộc tấn công vào tập lệnh trên nhiều trang web đã tiến gần hơn đến việc (gần như) trở thành dĩ vãng.
Các phiên bản web tối của Chrome Canary và WebKit hiện hỗ trợ tiêu đề Content-Security-Policy chưa có tiền tố và sẽ sử dụng tiêu đề X-WebKit-CSP có tiền tố để bắt đầu thử nghiệm một số hành vi mới được chỉ định trong Chính sách bảo mật nội dung 1.1. Thay vì viết:
X-WebKit-CSP: script-src 'self'; object-src 'none'
Bạn sẽ viết:
Content-Security-Policy: script-src 'self'; object-src 'none'
Chúng tôi hy vọng các nhà cung cấp trình duyệt khác cũng sẽ tuân theo trong một số bản sửa đổi tiếp theo. Vì vậy, bạn nên bắt đầu gửi tiêu đề chuẩn ngay hôm nay.
Nội dung Securawhat?
Chính sách bảo mật nội dung! Công cụ này giúp bạn giảm nguy cơ bị tấn công vào tập lệnh trên nhiều trang web và các cuộc tấn công chèn nội dung khác trong ứng dụng của mình. Đây là một bước tiến lớn về mặt khả năng bảo vệ mà bạn có thể cung cấp cho người dùng của mình và chúng tôi khuyên bạn nên xem xét kỹ lưỡng khi triển khai tính năng này. Bạn có thể xem tất cả thông tin chi tiết trong bài viết "Giới thiệu về chính sách bảo mật nội dung" rất khéo léo.