Pour son service de messagerie Gmail, Google implémente Content Security Policy qui est une spécification du W3C. Ici, cette fonctionnalité offre une protection vis-à-vis des extensions Gmail pour le navigateur qui pourraient charger du code non sûr et interférer avec une session en cours.
C'est le portrait robot d'une attaque de type Cross-Site Scripting - ou XSS - dans le cadre de laquelle la sécurité de la messagerie peut être compromise. L'extension n'est pas forcément malveillante mais des erreurs de codage peuvent la rendre dangereuse.
Le principe de CSP est de fournir un en-tête HTTP pour déterminer des sources sûres de contenus et de scripts que le navigateur est autorisé à charger sur une page. En somme, une sorte de liste blanche.
Le support de CSP concerne la version Web de Gmail. Il n'est pas fait mention des appareils mobiles mais on peut supposer que c'est parce que les extensions sont plus courantes pour le navigateur sur l'ordinateur de bureau.
Dans un tout autre registre que celui de la sécurité, il est désormais possible d'envoyer directement des fichiers de Google Drive en tant que pièces jointes dans Gmail plutôt que de simples liens Drive à partager.
