一、Content-Security-Policy——内容安全策略
HTTP 响应头 Content-Security-Policy 允许站点管理者在指定的页面控制用户代理的资源。除了少数例外,这条政策将极大地指定服务源 以及脚本端点。这将帮助防止跨站脚本攻击(Cross-Site Script) (XSS).
二、限制方式
Content-Security-Policy:<policy-directive>; <policy-directive>
<policy-directive>
常用指令
default-src:为其他指令提供备用服务
default-src无法限制form表单的提交
另需 form-action 'self' 来进行限制
connect-src:限制能通过脚本接口加载的URL。
font-src:限制通过@font-face加载的字体源。
frame-src: 限制通过类似<frame> 和<iframe> 标签加载的内嵌内容源。
img-src: 限制图片和图标源
media-src:限制通过<audio></