内容安全策略 (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。(摘自MDN)
具体内容请参考MDN:https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP
对于XSS攻击的防止,请参“美团技术团队”公众号,相关文章地址:https://segmentfault.com/a/1190000016551188
对于React和Vue,XSS攻击已经在框架里进行了防范,但是使用 dangerouslySetInnerHTML (React) 和 v-html (Vue) 时会涉及将HTML字符串直接转换为DOM节点,此时需要小心XSS攻击