我现在正在向我工作的网站介绍CSP和其他与安全相关的http标头。他们都觉得这是一个步入式的部分,所以没有问题......
我很快调查了哪些网站使用什么http标头。令人惊讶的是极少数使用CSP的网站。我检查了一些银行登录页面,一些大型网站和一些技术驱动的网站(如stackoverflow)。 Facebook是我唯一能找到使用CSP的网站。 Gmail仅在仅限报表模式下运行。
对我而言,添加这些标题并获得所有安全优势感觉就像是一个悬而未决的成果。我感到困惑。我错过了什么吗?为什么没有人使用它?是否存在一些我不了解的缺点?
Google和Mozilla的人员,W3C规范的编辑。那么为什么他们甚至没有使用它呢?
答案 0 :(得分:1)
我不想提供仅限链接的答案,但我不知道比Why is CSP failing? Trends and Challenges in CSP Adoption更好的回答方式。也许引用第3.4节“结论”会增加一些内容:
虽然有些网站使用CSP作为额外的保护层 内容注入,CSP尚未被广泛采用。而且, 在野外观察到的规则并未充分利用CSP的全部好处。 大多数启用CSP的网站都安装了phpMyAdmin, 它的默认策略较弱。其他最近的安全标头 获得了比CSP更多的牵引力,可能是因为他们的 相对容易部署。 Alexa Top 10K中只有一个站点 在我们的测量过程中,从仅报告模式切换到执行模式 表明CSP规则不容易从收集中派生出来 报告。如果政策可以,它可能有助于采用 以自动化或半自动化方式生成。
非正式地,(或者正式,因为Neil Matatal与CSP工作组合作),来自Managing Content Security Policy: