CSP的作用
- 限制了那些域的资源可以加载并且执行;
- 阻止内联脚本和页面上的事件处理;
- 控制静态资源的加载;
- 记录策略违规报告
启用CSP机制
一、创建 CSP 策略
CSP策略是设置了许多内容源的字符串,内容源可以对协议、主机host、关键词等等。比如
Content-Security-Policy: default-src 'self'; img-src https://\*; child-src 'none';
测试CSP策略的在线工具
二、添加 CSP 策略
开发者可以通过下面的手段通知浏览器那些资源是安全的,可加载执行的;哪些请求应该拒绝;
- 服务器端通过设置HTTP header
Content-Security-Policy
- 网页HTML文件中添加meta标签**
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">
**
CSP 指令列表
💡 CSP 定义了一系列的指令,每个指令控制一个特定的策略。
- default-src:这是CSP的默认指令,如果没有设置其他CSP指令,那么默认指令将