W ostatniej kompilacji Insider Preview (15002) w kręgu Fast pojawiło się wsparcie dla CSP2 w Microsoft Edge (EdgeHTML 15.15002). Content Security Policy Level 2 to efektywny mechanizm blokujący ataki oparte na Cross-site scriptingu (XSS) i wstrzyknięciu zawartości.
CSP wspierany jest przez wszystkie wersje Microsoft Edge i pomaga deweloperom w blokowaniu zasobów, które mogłyby zostać użyte w niepowołany sposób. Pierwsza wersja Content Security Policy była trudna w implementacji na stronach. Dopiero CSP2 posiada wsparcie dla nonce'ów i hashów związanych ze skryptami i stylami. Nonce to pod względem kryptografii silna wartość losowa, generowana na każdej stronie i pojawiająca się zarówno w zasadach CSP, jak i w tagach skryptów. Używanie nonce'ów pomaga zminimalizować konieczność zarządzania listą dozwolonych adresów URL, pozwalając jednocześnie na działanie zaufanych skryptów.
Microsoft tłumaczy, że nie poprzestaje na CSP2 i w przyszłości zamierza rozszerzyć wsparcie na kolejną iterację mechanizmu: "CSP2 jest dla Microsoft Edge ważnym krokiem w kierunku poprawy stanu bezpieczeństwa i dogłębnych możliwości obrony aplikacji webowych, jednak wciąż jest wiele do zrobienia. W dalszej kolejności skupimy się na dodaniu wsparcia dla strict-dynamic ze specyfikacji CSP3, by deweloperzy i administratorzy stron mogli w mniejszym stopniu polegać na białych listach i umocnić swoje implementację CSP".
Microsoft współpracuje z Chrome i W3C Web Platform Tests, by zapewnić międzyplatformową implementacje, a także z W3C Web Application Security Working Group, by udoskonalić Content Security Policy Level 3.
341f31d.png)