<div dir="ltr">Hello Webkit devs<div>  We would like to <span style="color:rgb(0,0,0)">get an official position on this proposal.</span></div><div><span style="color:rgb(0,0,0)">  The proposal is to extend the coverage of W3C Content Security Policy (</span><a href="https://www.w3.org/TR/CSP3/">https://www.w3.org/TR/CSP3/</a>) to include WebAssembly modules.</div><div><span style="color:rgb(0,0,0)">  Currently, CSP has an option to manage policy for WebAssembly execution through the 'unsafe-eval' source directive. However, the primary role of that directive is to allow eval in JavaScript.</span></div><div><span style="color:rgb(0,0,0)"> This change adds a specific source directive 'wasm-unsafe-eval' to CSP that permits an engine to compile and instantiate a wasm module. In addition, the proposal is to extend the coverage of existing script-src directives to include wasm modules downloaded using the fetch API. This would affect instantiateStreaming and compileStreaming.</span></div><div><span style="color:rgb(0,0,0)"><br></span></div><div><span style="color:rgb(0,0,0)">The link to the proposed changes to CSP is  </span><a href="https://github.com/w3c/webappsec-csp/pull/293">https://github.com/w3c/webappsec-csp/pull/293</a>.</div><div>The link to the proposed change in WebAssembly's web API is <a href="https://github.com/WebAssembly/content-security-policy/tree/fgm-patch-4">https://github.com/WebAssembly/content-security-policy/tree/fgm-patch-4</a></div><div><br></div><div>Thank you</div><div>Francis McCabe</div></div>