2015年12月15日,W3C的Web应用安全工作组(Web Application Security Working Group)发布了Cookie控制 及 嵌入式控制(Embedded Enforcement)两份与内容安全策略(CSP)相关的标准工作草案:
-内容安全策略:Cookie控制(Content Security Policy: Cookie Control)。该文档定义了一种机制,允许Web开发者通过指定 content-security-policy: cookie scope 策略,在不同站点和应用程序上下文环境中,限制浏览器对记录了用户信息及会话信息的Cookie向Web服务器的传送方式(如是否要求安全链路传输)和范围(如是否限定在指定主机或子域)。
-内容安全策略:嵌入式策略强制(Content Security Policy:Embedded Enforcement):该文档定义了一种机制,允许开发者在Web页面中嵌入一个嵌套的浏览器上下文(nested browsing context),并在其中强制执行一组特定的内容安全策略限制,例如对页面中嵌入的 iframe 指定一组嵌入的特定内容安全策略。
更多信息,请参阅W3C的Web应用安全工作组,及英文原文。
评论已关闭