Microsoft najavljuje podršku za Content Security Policy Level 2 (CSP2) u Microsoft Edgeu

Uz najnoviju verziju Windows 10 Creators Update Insider, Microsoft ima uključen podrška za Politiku sigurnosti sadržaja razine 2 (CSP2) u Microsoft Edge (EdgeHTML 15.15002) kako bi bio najsigurniji i najsigurniji preglednik. CSP2 je učinkovit mehanizam dubinske obrane protiv skriptiranja na više stranica i napada ubrizgavanjem sadržaja.

CSP je omogućio web programerima da zaključaju resurse koje može koristiti njihova web aplikacija, pomažući spriječiti napade skriptiranja na više web stranica koji su i dalje uobičajena ranjivost na webu. Ali bilo je teško implementirati na web-mjesta s ugrađenim elementima skripte koji su ili upućivali na izvore skripte ili koji su izravno sadržavali skriptu.

CSP2 olakšava ove scenarije dodavanjem podrške za nonces i hashove za resurse skripte i stila. Nonce je kriptografski jaka nasumična vrijednost generirana pri svakom učitavanju stranice koja se pojavljuje i u CSP politici i u oznakama skripte na stranici. Korištenje nonces može pomoći da se minimizira održavanje popisa dopuštenih vrijednosti izvornog URL-a, dok također omogućuje pokretanje pouzdane skripte deklarirane u elementima skripte.

U budućnosti, Microsoft također planira dodati podršku za strogu dinamiku iz specifikacije CSP3 kako bi omogućio programerima i administratorima web-mjesta da smanje svoje oslanjanje na popise dopuštenih i pooštre implementaciju CSP-a.