W3C发布 内容安全策略Pining、升级非安全请求 两份工作草案

W3C的Web应用安全工作组（Web Application Security Working Group）发布了内容安全策略Pinning（Content Security Policy Pinning）的首份工作草案。该文档定义了一个名为“Content-Security-Policy-Pin”的新HTTP头，允许站点开发者通过它通知用户代理，在随后的一段时间内对该站点的所有内容强制采用指定的内容安全策略（Content Security Policy），即便请求中不再带有Content-Security-Policy头。这一机制类似于严格传输安全（Strict Transport Security [RFC 6797]）及公钥Pining（Public Key Pining）。

该工作组还发布了 升级非安全请求（Upgrade Insecure Requests）的首份工作草案。该文档定义了一个新的内容安全策略指示符（Content Security Policy Directive）upgrade-insecure-requests，这种机制允许站点开发者引导用户代理，在获取一些受保护资源之前，从非安全的资源请求升级为安全请求。

更多信息，请参阅英文原文，及W3C的安全标准计划（Security Activity）。