本帖最后由 newsmanager 于 2017-1-19 21:01 编辑

昨天，***链接停止解析***，在本次的 Build 15002 版本中，微软带来了海量的新特性和改进。

今天，微软在 Windows 官方博客中表示，他们已经在上述的 Build 版本中为 Windows 10 中的原生浏览器 Microsoft Edge 带来了”Content Security Policy Level 2”（内容安全策略等级2，CSP2）特性支持。该特性极大增强了 Edge 浏览器的安全性。CSP2 是一种有效的深度防护机制，能够防御跨网站脚本和内容注入攻击。

***附件停止解析***

CSP 允许 Web 开发者锁定 Web 应用程序能够利用的资源，防止跨网站脚本攻击。但是 CSP 对具备串联脚本元素的网站无效，这些元素会指向脚本资源或者直接包含脚本。

但是微软表示：

QuoteCSP2 通过添加针对随机数和哈希值的脚本和风格资源支持，更易于实现上述防护场景。随机数就是一种密码级别的强随机数值，能够针对每一份网站进行生成，可以同时出现在 CSP 策略和页面脚本标签中。使用随机数能够帮助最小化列表维护成本，并允许脚本元素声明受信任的脚本。