W3C发布升级非安全请求、混合内容两份候选推荐标准 征集参考实现

作者及发布日期

发布:

W3C的Web应用安全工作组(Web Application Security Working Group)发布了两份文档的候选推荐标准(Candidate Recommendations),帮助Web开发者和Web用户实现安全的、基于认证的内容浏览:
 

升级非安全请求(Upgrade Insecure Requests):该文档定义了一个新的内容安全策略指示符(Content Security Policy Directive)upgrade-insecure-requests,这种机制允许站点开发者引导用户代理,在获取一些受保护资源之前,从非安全的资源请求升级为安全请求。W3C在2015年2月发布了该标准的首份标准工作草案

混合内容(Mixed Content):该文档详细介绍了用户代理(浏览器等)如何通过限制资源借助非安全信道与其他站点通信,以及将非公开的资源内容通过非安全信道传输而暴露在Web上等方式,控制用户安全与隐私的风险。草案描述了用户代理在处理加密和认证的文档时,如何禁止(disallow)对经过非加密方式或非授权连接所加载的子资源进行渲染或执行。
 

更多内容,参见W3C的安全标准计划。

相关的 RSS

订阅我们的news信息源