正式に、W3C は、コンテンツ セキュリティ ポリシー 1.0 の仕様をワーキング ドラフトから候補候補に発展させ、実装を呼びかけました。クロスサイト・スクリプティング攻撃は、ほぼ過去のものとなりつつあります。
Chrome Canary と WebKit ナイトリーで、プレフィックスのない Content-Security-Policy ヘッダーがサポートされるようになりました。また、プレフィックス付きの X-WebKit-CSP ヘッダーを使用して、コンテンツ セキュリティ ポリシー 1.1 の一部として指定されている新しい動作のテストを開始します。次のように記述する代わりに、
X-WebKit-CSP: script-src 'self'; object-src 'none'
記述する内容:
Content-Security-Policy: script-src 'self'; object-src 'none'
今後、いくつかのリビジョンでは、他のブラウザ ベンダーもこれに追随する見込みです。そのため、正規ヘッダーを今すぐ送信することをおすすめします。
コンテンツのセキュリティ保護
コンテンツ セキュリティ ポリシーアプリケーションでのクロスサイト スクリプティングやその他のコンテンツ インジェクション攻撃のリスクを軽減できます。ユーザー保護という点で大きな進歩を遂げています。ぜひ導入をご検討ください。その詳細は、きわめて巧妙な「コンテンツ セキュリティ ポリシーの概要」でご覧いただけます。