2015年10月8日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了两份文档的候选推荐标准(Candidate Recommendations),帮助Web开发者和Web用户实现安全的、基于认证的内容浏览:
-升级非安全请求(Upgrade Insecure Requests):该文档定义了一个新的内容安全策略指示符(Content Security Policy Directive)upgrade-insecure-requests,这种机制允许站点开发者引导用户代理,在获取一些受保护资源之前,从非安全的资源请求升级为安全请求。W3C在2015年2月发布了该标准的首份标准工作草案。
-混合内容(Mixed Content):该文档详细介绍了用户代理(浏览器等)如何通过限制资源借助非安全信道与其他站点通信,以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式,控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时,如何禁止(disallow)对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。
更多内容,请参阅英文原文,及W3C的安全标准计划。
评论已关闭