A Microsoft bejelentette a Content Security Policy Level 2 (CSP2) támogatását a Microsoft Edge-ben

A Windows 10 Creators Update Insider legújabb verziójával a Microsoft megkapta beleértve a tartalombiztonsági házirend 2. szintű (CSP2) támogatása a Microsoft Edge-ben (EdgeHTML 15.15002), hogy ez a legbiztonságosabb és legbiztonságosabb böngésző legyen. A CSP2 egy hatékony, mélyreható védelmi mechanizmus a webhelyek közötti szkriptelés és a tartalominjektáló támadások ellen.

A CSP lehetővé tette a webfejlesztők számára, hogy zárolják a webalkalmazásaik által felhasználható erőforrásokat, segítve ezzel a webhelyek közötti parancsfájl-támadások megelőzését, amelyek továbbra is gyakori biztonsági rések az interneten. De nehéz volt megvalósítani olyan webhelyeken, amelyek beépített szkriptelemeket tartalmaznak, amelyek vagy a szkriptforrásokra mutattak, vagy amelyek közvetlenül tartalmazták a szkriptet.

A CSP2 megkönnyíti ezeket a forgatókönyveket azáltal, hogy támogatja a szkript- és stíluserőforrásokhoz tartozó nonces-eket és hash-eket. A nonce egy titkosításilag erős véletlenszerű érték, amely minden oldalbetöltéskor generálódik, és megjelenik a CSP-házirendben és az oldal szkriptcímkéiben is. A nonces használata segíthet minimalizálni az engedélyezett forrás URL-értékek listájának fenntartását, ugyanakkor lehetővé teszi a szkriptelemekben deklarált megbízható szkriptek futtatását.

A jövőben a Microsoft azt is tervezi, hogy a CSP3 specifikációiból a szigorú dinamikus támogatást is hozzáadja, hogy a fejlesztők és webhelyadminisztrátorok csökkentsék az engedélyezési listáktól való függőségüket, és szigorítsák CSP-megvalósításaikat.