你甚至可以在运行时通过脚本来添加策略。
DOM API:如果CSP的下一个迭代添加了这个特性,你可以通过Javascript来查询页面当前的安全策略,并根据不同的情况进行调整。例如在eval()是否可用的情况下,你的代码实现可能会有些许不同。这对JS框架的作者来说非常有用;并且API规范目前还非常不确定,你可以在规范草案的脚本接口章节找到最新的迭代版本。
新的指令:许多新指令正在讨论中,包括script-nonce:只有明确指定的脚本元素才能使用内联脚本;plugin-types:这将限制插件的类型;form-action:允许form只能提交到特定的来源。
如果你对这些未来特性的讨论感兴趣,可以阅读邮件列表的归档或者加入邮件列表。
本文译自:http://www.html5rocks.com/en/tutorials/security/content-security-policy/
摘自:蒋宇捷的博客
