我现在将CSP和其他与安全性相关的HTTP标头引入我正在工作的网站。他们都觉得自己像是步步为营地介绍的,所以在那里没有问题...
我迅速调查了哪些网站使用哪些http标头。令人惊讶的是,很少有网站使用CSP。我检查了一些银行的登录页面,一些大型网站和一些技术驱动的网站(例如stackoverflow)。我唯一能找到使用CSP的网站是Facebook。Gmail仅在仅报告模式下运行它。
对我来说,仅添加这些标头并获得所有安全性的感觉就很轻松。我感到困惑。我错过了什么吗?为什么没有人使用它?有我不知道的某种缺点吗?
来自Google和Mozilla的人员,W3C规范的编辑者。那么,为什么他们甚至不使用它呢?
我不想提供仅链接的答案,但是除了CSP为什么会失败之外,我不知道一种更好的答案方法。CSP采纳的趋势与挑战。也许引用第3.4节“结论”将增加一些实质内容:
尽管某些站点将CSP用作防止内容注入的附加保护层,但CSP尚未被广泛采用。此外,在野外观察到的规则并未充分利用CSP的全部好处。大多数启用CSP的网站都是phpMyAdmin的安装,其默认策略较弱。其他最新的安全标头比CSP获得了更大的吸引力,大概是由于它们相对易于部署。在我们的评估过程中,只有Alexa Top 10K中的一个站点从仅报告模式转换为强制执行,这表明CSP规则无法轻松地从收集的报告中得出。如果可以以自动化或半自动化的方式生成策略,则可能会对采用产生帮助。
来自管理内容安全策略的非正式消息(或者可能是正式消息,因为Neil Matatal在CSP工作组任职):
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句