我現在將CSP和其他與安全相關的http標題介紹給我工作的網站。他們都覺得自己像一個步入式的部分介紹所以沒有問題... ...CSP內容安全策略 - 爲什麼我們不使用它?
我迅速調查,其中所使用的網站是什麼HTTP標頭。令人驚訝的是,使用CSP的網站極少。我查閱了一些銀行登錄頁面,一些大型網站和一些技術驅動的網站(如stackoverflow)。 Facebook是我能找到的使用CSP的唯一網站。 Gmail僅在僅限報告模式下運行。
對於我來說,感覺就像一個唾手可得的,只是添加這些報頭,並得到所有的安全優勢。我感到困惑。我錯過了什麼嗎?爲什麼沒有人使用它?是否有某種我不知道的缺點?
從谷歌和Mozilla人們在W3C規範的編輯。那爲什麼他們不使用它?
我不想提供一個唯一的鏈接的答案,但我不知道一個更好的方式比Why is CSP failing? Trends and Challenges in CSP Adoption回答。也許援引第3.4節的結論,將添加一些物質:
雖然一些網站使用CSP作爲對 內容注入了額外的保護層,CSP還沒有被廣泛採用。此外,在野外觀察到的規則並沒有充分利用CSP的全部好處。 大多數啓用CSP的網站都安裝了phpMyAdmin, ,這些默認策略很弱。其他最近的安全頭文件 比CSP獲得了更多的牽引力,大概是由於它們的部署相對容易。只有一個在Alexa的頂部10K 網站我們的測量 期間僅爲報表模式執行切換表明,CSP規則不能很容易地從收集 報告的。如果政策可能是以自動或半自動方式生成的 ,它可能有助於採用。
非正式地(也許正式因爲尼爾Matatal與CSP工作組),從Managing Content Security Policy:
*「從谷歌和Mozilla的人們都的編輯W3C規範。那麼他們爲什麼不使用它?* - 這裏有幾點。首先,我認爲WhiteHat Security的Robert Hansen是CSP的創始人。其次,我相信布蘭登斯特恩是第一個在FireFox中實現它的人。第三,CSP正在調整或調整。 LC中的[CSP Level 2是草案](http://www.w3.org/TR/CSP11/)。 – jww 2014-09-24 01:18:55
1.是的,但是布蘭登斯特恩,Mozilla和Adam Barth,Google編輯。所以他們投入了時間。 2.我在談論使用它的網站,而不是支持它的瀏覽器。 3.是的,但我仍然認爲1級是好的,所以即使正在出現一個好的水平,我的問題也是有效的。 – 2014-09-24 02:03:17