我现在将CSP和其他与安全相关的http标题介绍给我工作的网站。他们都觉得自己像一个步入式的部分介绍所以没有问题... ...CSP内容安全策略 - 为什么我们不使用它?
我迅速调查,其中所使用的网站是什么HTTP标头。令人惊讶的是,使用CSP的网站极少。我查阅了一些银行登录页面,一些大型网站和一些技术驱动的网站(如stackoverflow)。 Facebook是我能找到的使用CSP的唯一网站。 Gmail仅在仅限报告模式下运行。
对于我来说,感觉就像一个唾手可得的,只是添加这些报头,并得到所有的安全优势。我感到困惑。我错过了什么吗?为什么没有人使用它?是否有某种我不知道的缺点?
从谷歌和Mozilla人们在W3C规范的编辑。那为什么他们不使用它?
*“从谷歌和Mozilla的人们都的编辑W3C规范。那么他们为什么不使用它?* - 这里有几点。首先,我认为WhiteHat Security的Robert Hansen是CSP的创始人。其次,我相信布兰登斯特恩是第一个在FireFox中实现它的人。第三,CSP正在调整或调整。 LC中的[CSP Level 2是草案](http://www.w3.org/TR/CSP11/)。 – jww 2014-09-24 01:18:55
1.是的,但是布兰登斯特恩,Mozilla和Adam Barth,Google编辑。所以他们投入了时间。 2.我在谈论使用它的网站,而不是支持它的浏览器。 3.是的,但我仍然认为1级是好的,所以即使正在出现一个好的水平,我的问题也是有效的。 – 2014-09-24 02:03:17