我現在將CSP和其他與安全相關的http標題介紹給我工作的網站。他們都覺得自己像一個步入式的部分介紹所以沒有問題... ...CSP內容安全策略 - 爲什麼我們不使用它?
我迅速調查,其中所使用的網站是什麼HTTP標頭。令人驚訝的是,使用CSP的網站極少。我查閱了一些銀行登錄頁面,一些大型網站和一些技術驅動的網站(如stackoverflow)。 Facebook是我能找到的使用CSP的唯一網站。 Gmail僅在僅限報告模式下運行。
對於我來說,感覺就像一個唾手可得的,只是添加這些報頭,並得到所有的安全優勢。我感到困惑。我錯過了什麼嗎?爲什麼沒有人使用它?是否有某種我不知道的缺點?
從谷歌和Mozilla人們在W3C規範的編輯。那爲什麼他們不使用它?
*「從谷歌和Mozilla的人們都的編輯W3C規範。那麼他們爲什麼不使用它?* - 這裏有幾點。首先,我認爲WhiteHat Security的Robert Hansen是CSP的創始人。其次,我相信布蘭登斯特恩是第一個在FireFox中實現它的人。第三,CSP正在調整或調整。 LC中的[CSP Level 2是草案](http://www.w3.org/TR/CSP11/)。 – jww 2014-09-24 01:18:55
1.是的,但是布蘭登斯特恩,Mozilla和Adam Barth,Google編輯。所以他們投入了時間。 2.我在談論使用它的網站,而不是支持它的瀏覽器。 3.是的,但我仍然認爲1級是好的,所以即使正在出現一個好的水平,我的問題也是有效的。 – 2014-09-24 02:03:17