我现在正在为我所工作的网站引入CSP和其他与安全相关的http头。它们都感觉很容易引入,所以没有问题...
我快速调查了一下哪些网站使用了什么http头。惊讶的是极少数网站使用了CSP。我查看了一些银行登录页面、一些大型网站和一些技术驱动的网站(如stackoverflow)。Facebook是我唯一能找到使用CSP的网站。Gmail只在报告模式下运行。
对我来说,这就像是采摘低垂的果实,只需添加这些头文件即可获得所有的安全好处。我感到困惑。我错过了什么吗?为什么没有人使用它?难道有我不知道的缺点吗?
来自Google和Mozilla的人是W3C规范的编辑。那么为什么他们甚至没有使用它呢?
我快速调查了一下哪些网站使用了什么http头。惊讶的是极少数网站使用了CSP。我查看了一些银行登录页面、一些大型网站和一些技术驱动的网站(如stackoverflow)。Facebook是我唯一能找到使用CSP的网站。Gmail只在报告模式下运行。
对我来说,这就像是采摘低垂的果实,只需添加这些头文件即可获得所有的安全好处。我感到困惑。我错过了什么吗?为什么没有人使用它?难道有我不知道的缺点吗?
来自Google和Mozilla的人是W3C规范的编辑。那么为什么他们甚至没有使用它呢?
- 是的,但 Brandon Sterne(Mozilla)和 Adam Barth(Google)是这个项目的编辑。因此,他们在其中投入了时间。
- 我说的是使用它的网站,而不是支持它的浏览器。
- 是的,但我仍然认为第一级很棒,所以即使有更好的级别即将推出,我的问题仍然很有效。
- He Nrik