標籤為 “content security policy” 的頁面如下
February 25, 2012
內容安全政策 (Content Security Policy) 是甚麼?
W3C 最近推出了「內容安全政策」(Content Security Policy, CSP) 的技術報告,建議在 HTTP 協定中加入一些新的標籤,希望可以令惡名照著的「跨網站攻擊程式」(cross site scripting, XSS) 永遠消失,至少令「儲存式」和「反射式」的 XSS 無法生存,至於「DOM 為本」的 XSS 可能仍需要開發人員繼續進行防禦。XSS 在 OWASP 的攻擊手段排名中名列第二,不少著名網站都曾受 XSS 攻擊,例如 Twitter、Facebook 等。究竟「內容安全政策」是甚麼?作為開發人員,對你有甚麼影響?