参考文章:https://cloud.tencent.com/developer/article/1411746
CSP全称Content-Security-Policy,内容安全策略,它的主要作用是尽量降低XSS跨站脚本攻击的可能,CSP可以在meta标签和HTTP头中使用。
比如
Content-Security-Policy: img-src 'self'
这个响应头表示图片的src只能加载同源的,注意self的引号
如果改成
Content-Security-Policy: img-src http://www.baidu.com
那么http://www.baidu.com的图片就可以在这个页面上加载
多个安全策略的情况,同一种类的不同域名之间用空格分隔,不同种类之间用分号
Content-Security-Policy: img-src 'self' http://www.baidu.com; script-src http://xxx.com http://yyy.com
违反安全策略时,会触发securitypolicyviolation事件,可以通过addEventListener来监听该事件