콘텐츠 보안 정책 1.0은 정말 대단합니다.

공식적으로 W3C는 콘텐츠 보안 정책 1.0 사양을 작업 초안에서 후보 추천으로 발전시키고 구현을 위한 요청을 발령했습니다. 교차 사이트 스크립팅 공격은 (대부분) 과거의 기술에 한 걸음 더 가까워졌습니다.

이제 Chrome Canary 및 WebKit Nightlies에서 접두사가 없는 Content-Security-Policy 헤더를 지원하며 프리픽스가 붙은 X-WebKit-CSP 헤더를 사용하여 콘텐츠 보안 정책 1.1의 일부로 지정되는 몇 가지 새로운 동작을 실험하기 시작합니다. 다음과 같이 작성하는 대신

X-WebKit-CSP: script-src 'self'; object-src 'none'

다음과 같이 작성합니다.

Content-Security-Policy: script-src 'self'; object-src 'none'

다른 브라우저 공급업체도 다음 몇 가지 수정 사항을 따를 것으로 예상되므로 오늘부터 표준 헤더를 전송하기 시작하는 것이 좋습니다.

콘텐츠 보안이란?

콘텐츠 보안 정책 애플리케이션에서 교차 사이트 스크립팅 및 기타 콘텐츠 삽입 공격의 위험을 줄이는 데 도움이 됩니다. 이는 사용자에게 제공할 수 있는 보호 기능 면에서 큰 발전을 이루는 것이므로 이를 구현하는 것이 좋습니다. 자세한 내용은 '콘텐츠 보안 정책 소개'라는 매우 정교한 섹션에서 확인할 수 있습니다.