Microsoft tillkännager stöd för Content Security Policy Level 2 (CSP2) i Microsoft Edge
1 min. läsa
Publicerad den
Dela den här artikeln
Förbättra den här guiden
Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer
Med den senaste versionen av Windows 10 Creators Update Insider har Microsoft ingår stöd för Content Security Policy Level 2 (CSP2) i Microsoft Edge (EdgeHTML 15.15002) för att göra den till den säkraste och säkraste webbläsaren. CSP2 är en effektiv försvarsmekanism på djupet mot cross-site scripting och attacker mot innehållsinjektioner.
CSP gjorde det möjligt för webbutvecklare att låsa resurserna som kan användas av deras webbapplikation, vilket hjälper till att förhindra cross-site scripting-attacker som fortfarande är en vanlig sårbarhet på webben. Men det var svårt att implementera på webbplatser med inline-skriptelement som antingen pekade på manuskällor eller som innehöll manus direkt.
CSP2 gör dessa scenarier enklare genom att lägga till stöd för nonces och hash för skript- och stilresurser. En nonce är ett kryptografiskt starkt slumpmässigt värde som genereras vid varje sidladdning som visas i både CSP-policyn och i skripttaggarna på sidan. Att använda nonces kan hjälpa till att minimera upprätthållandet av en lista över tillåtna käll-URL-värden, samtidigt som betrodda skript som deklarerats i skriptelement kan köras.
I framtiden planerar Microsoft också att lägga till stöd för strikt dynamisk från CSP3-specifikationen för att göra det möjligt för utvecklare och webbplatsadministratörer att minska sitt beroende av vitlistor och skärpa sina CSP-implementationer.
