我现在将CSP和其他与安全相关的http标题介绍给我工作的网站。他们都觉得自己像一个步入式的部分介绍所以没有问题... ...CSP内容安全策略 - 为什么我们不使用它?
我迅速调查,其中所使用的网站是什么HTTP标头。令人惊讶的是,使用CSP的网站极少。我查阅了一些银行登录页面,一些大型网站和一些技术驱动的网站(如stackoverflow)。 Facebook是我能找到的使用CSP的唯一网站。 Gmail仅在仅限报告模式下运行。
对于我来说,感觉就像一个唾手可得的,只是添加这些报头,并得到所有的安全优势。我感到困惑。我错过了什么吗?为什么没有人使用它?是否有某种我不知道的缺点?
从谷歌和Mozilla人们在W3C规范的编辑。那为什么他们不使用它?
我不想提供一个唯一的链接的答案,但我不知道一个更好的方式比Why is CSP failing? Trends and Challenges in CSP Adoption回答。也许援引第3.4节的结论,将添加一些物质:
虽然一些网站使用CSP作为对 内容注入了额外的保护层,CSP还没有被广泛采用。此外,在野外观察到的规则并没有充分利用CSP的全部好处。 大多数启用CSP的网站都安装了phpMyAdmin, ,这些默认策略很弱。其他最近的安全头文件 比CSP获得了更多的牵引力,大概是由于它们的部署相对容易。只有一个在Alexa的顶部10K 网站我们的测量 期间仅为报表模式执行切换表明,CSP规则不能很容易地从收集 报告的。如果政策可能是以自动或半自动方式生成的 ,它可能有助于采用。
非正式地(也许正式因为尼尔Matatal与CSP工作组),从Managing Content Security Policy:
*“从谷歌和Mozilla的人们都的编辑W3C规范。那么他们为什么不使用它?* - 这里有几点。首先,我认为WhiteHat Security的Robert Hansen是CSP的创始人。其次,我相信布兰登斯特恩是第一个在FireFox中实现它的人。第三,CSP正在调整或调整。 LC中的[CSP Level 2是草案](http://www.w3.org/TR/CSP11/)。 – jww 2014-09-24 01:18:55
1.是的,但是布兰登斯特恩,Mozilla和Adam Barth,Google编辑。所以他们投入了时间。 2.我在谈论使用它的网站,而不是支持它的浏览器。 3.是的,但我仍然认为1级是好的,所以即使正在出现一个好的水平,我的问题也是有效的。 – 2014-09-24 02:03:17