Através da última Build Insider do Windows 10 Creators Update, a Microsoft introduziu no Microsoft Edge o suporte ao Content Security Policy Level 2 (CSP2) para tornar o navegador padrão do Windows 10 ainda mais seguro e confiável. O CSP2 é um recurso de defesa contra scripts entre sites e ataques de injeção de conteúdo muito eficaz.
O CSP permitiu que os desenvolvedores web bloqueassem recursos que podem ser utilizados pela sua aplicação web, para ajudar a evitar ataques de scripts entre sites que continuam sendo vulnerabilidade comum na internet. Entretanto foi difícil de implementar em sites que tem elementos de script inline que apontassem para fontes de scripts ou que tivessem scripts diretamente.
O CSP2 facilita esses cenários adicionando suporte para nonces e hashes para recursos de script e estilo. Um nonce é um valor aleatório criptograficamente forte gerado em cada carregamento de página que aparece tanto na política CSP como nas tags de script na página. O uso de nonces pode ajudar a minimizar a manutenção de uma lista de valores de URL de origem permitidas, ao mesmo tempo em que permite que o script confiável declarado em elementos de script seja executado.
A Microsoft planeja, no futuro, adicionar suporte para strict-dynamic da especificação CSP3 para permitir que administradores de sites e desenvolvedores reduzam sua dependência de whitelists e possam aperfeiçoar suas implementações CSP.
Fonte: MSPowerUser.
Comentários