http://threatpost.com/csp-1-0-added-to-firefox-to-block-xss-attacks/

X-Content-Security-Policy头会变为:Content-Security-Policy。

我没测试,不过据说Firefox、Chrome、IE10(沙箱模式)都支持了这个头。CSP1.0 还支持内嵌的样式的屏蔽,这些目的都是为了防御XSS。

我们的《Web前端黑客技术揭秘》最后一章有详细说明(http://vdisk.weibo.com/s/GDqYZ开放),并认为CSP最终会成为XSS的终结者。不过这需要那些网站配合浏览器的CSP策略了,不仅能保证代码编写规范,也能保证前端安全性。

:)