该项目简称为 CSP， 是RSnake 协助mozilla的安全team搞出来的。

今天在这里 http://blog.securityps.com/2009/08/mozilla-to-release-content-security.html 看到最新的进展，mozilla计划于 firefox 3.6 提供这一功能。

然后我又到这里看了文档和细节

~bsterne/content-security-policy/details.html

首先，这份文档是值得肯定的，格式工整，颜色看起来很舒服。

内容上也可以做一份XSS的指导。

但是，关于CSP这个项目本身，我认为在普及上还有很长很长一段路要走。他要求程序员修改每一个页面，给每个页面制定策略文件。而由于CSP还不是标准，就FF一家支持，所以即便程序员改了每个页面，那么还有那么多其他浏览器的用户无法照顾到。

在可用性上，根据策略文件看来，如果一个页面频繁的更新，或者是要求有大量不同源的可信数据，就很难写这个策略文件了。

比如支付宝有几十万的商家用户，如果在某个页面，这些商家需要向支付宝提供数据，那么显然不可能在策略文件里定义几十万条源！

最要命的，我在CSP项目里，没有看到任何针对DOM based XSS的防范，这点需要等FF3.6发布后才能验证。

此外，还可能存在缺陷的有几个地方，需要等发布后验证，我也不好在这里乱说。

harry根据CSP的思想，也写了一个ACS，他的思路是使用JS，纯粹从客户端实现，虽然在可用性上也存在上述的问题，但是却解决了跨浏览器的问题，也算是一个大的进步。

我让他写篇paper，也许能在webzine 0x04上和大家见面。

前段时间在Blackhat 大会上见了 RSnake一面，眼睛长的非常大，像牛眼，应该属于精力极度旺盛的那种人. XD