本文的信息基于与 Ian Melven、Kailas Patil 和 Tanvi Vyas 的合作。.

我们刚刚在 内容安全策略 (CSP) 1.0
规范 中加入了对 Firefox Aurora（Firefox 23）的支持，从明天（5 月 30 日）开始提供。CSP 是一种安全机制，旨在通过提供已知安全域名的白名单来保护网站免受内容注入攻击，从而接受来自这些域名的 JavaScript（和其他内容）。CSP 通过在它保护的文档中发送 Content-Security-Policy 标头来实现这一点（是的，我们在 1.0 版本的规范中丢掉了 X 前缀）。

为了有效地防止 XSS 攻击，一些 JavaScript 功能必须
被禁用

• 所有内联 JavaScript 代码都被禁止。这意味着所有 JavaScript 代码必须放置在一个单独的文件中，并通过 <script src=... > 连接
• 所有允许从字符串执行 JavaScript 代码的函数调用（例如，eval）都被禁用

CSP 现在更加直观和一致

虽然 Firefox 从在 Mozilla 发明 CSP 以来就一直在支持 CSP，但事情一直在发生变化。在 W3C 中对规范的简化开发使得这个概念更加直观和一致。CSP 标头中的大多数指令现在都是统一的形式，明确指定了要限制的内容类型

• img-src
• object-src
• script-src
• style-src 等等。

哦，如果你觉得必须允许不太安全的 JavaScript 编码风格，你可以将 unsafe-inline 或 unsafe-eval 值添加到你的脚本源列表中。（之前分别是 inline-script 和 eval-script）。

现在就开始实施 CSP，保护你的网站吧！

但是等等，这会不会有点繁琐......编写复杂的策略，并确保你记得网站需要的所有资源？别担心！UserCSP 又回来了！

使用 UserCSP 生成内容安全策略！

在过去的几个月里，我们 安全指导计划 的学生 Kailas Patil 继续他去年的 GSoC 工作 来更新 UserCSP。

UserCSP 是一款 Firefox 扩展，帮助 Web 开发人员和注重安全的用户使用 CSP。Web 开发人员可以使用 UserCSP 的推断 CSP 功能为他们的网站创建内容安全策略 (CSP)。此功能可以列出所需的资源 URL，并将其转换为可以插入 CSP 标头的策略。

此外，UserCSP 是将策略执行机制直接暴露给 Web 用户的第一步。此外，用户可以通过该扩展程序强制执行比页面提供的更严格的策略，或者将策略应用于当前不支持 CSP 的某些网站。

虽然早期的 UserCSP 版本更多地与最初在 Mozilla 发明的內容安全策略相一致，但此版本已更新以符合 CSP 1.0 规范。这意味着，一旦浏览器支持该规范，使用此扩展程序生成的策略就可以在所有浏览器中使用。万岁！

随着这项技术的发展和发布，我们 关于内容安全策略 (CSP) 的 MDN 文档 将继续演进，我们也计划在接下来的几周内在 Mozilla 安全博客 上发布更多关于这方面的文章，敬请关注！