2015年12月15日，W3C的Web应用安全工作组（Web Application Security Working Group）发布了Cookie控制 及 嵌入式控制（Embedded Enforcement）两份与内容安全策略（CSP）相关的标准工作草案：

－内容安全策略：Cookie控制（Content Security Policy: Cookie Control）。该文档定义了一种机制，允许Web开发者通过指定 content-security-policy: cookie scope 策略，在不同站点和应用程序上下文环境中，限制浏览器对记录了用户信息及会话信息的Cookie向Web服务器的传送方式（如是否要求安全链路传输）和范围（如是否限定在指定主机或子域）。

－内容安全策略：嵌入式策略强制（Content Security Policy：Embedded Enforcement）：该文档定义了一种机制，允许开发者在Web页面中嵌入一个嵌套的浏览器上下文（nested browsing context），并在其中强制执行一组特定的内容安全策略限制，例如对页面中嵌入的 iframe 指定一组嵌入的特定内容安全策略。

更多信息，请参阅W3C的Web应用安全工作组，及英文原文。