Microsoft 宣布在 Microsoft Edge 中支持内容安全策略级别 2 (CSP2)

借助最新的 Windows 10 Creators Update Insider 版本，微软拥有 包括 支持 Microsoft Edge 中的内容安全策略级别 2 (CSP2) (边缘HTML 15.15002) 使其成为最安全的浏览器。 CSP2 是针对跨站点脚本和内容注入攻击的有效纵深防御机制。

CSP 允许 Web 开发人员锁定其 Web 应用程序可以使用的资源，帮助防止跨站点脚本攻击仍然是 Web 上的常见漏洞。 但是很难在具有指向脚本源或直接包含脚本的内联脚本元素的网站上实现。

CSP2 通过为脚本和样式资源添加对随机数和散列的支持，使这些场景变得更容易。 随机数是在每次页面加载时生成的加密强随机值，它同时出现在 CSP 策略和页面的脚本标记中。 使用 nonces 可以帮助最小化维护允许的源 URL 值列表，同时还允许在脚本元素中声明的受信任脚本运行。

未来，微软还计划从 CSP3 规范中添加对严格动态的支持，以使开发人员和站点管理员能够减少对白名单的依赖并加强他们的 CSP 实施。