CSP 内容安全策略----以白名单的机制对网站加载或执行的资源起作用。在网页中,这样的策略通过 HTTP 头信息或者 meta 元素定义。
主要目的:CSP 的主要目标是减少和阻止恶意脚本注入、跨站脚本攻击(XSS)、数据泄露等安全风险。它通过白名单方式明确指定可信的资源来源,限制浏览器加载和执行非授权的资源。
启用CSP的两种方法:
(1)启用CSP的方法有两种,第一种是通过设置一个HTTP响应头(HTTP response header) “Content-Security-Policy”,
(2)第二种是通过HTML标签设置,meta包含很多属性:
![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/1d25646af0e8423db0250b3ae310cebe.png)
<meta http-equiv="Content-Security-Policy" content="default-src 'self';
script-src 'self' https://example.com; style-src 'self' 'unsafe-inline';">
上述示例中,配置了默认资源来源为同源(‘self’),可执行脚本来源限制为同源和 https://example.com,应用样式来源限制为同源和内联样式(‘unsafe-inline’)。