ContentSecurityPolicy(CSP)是一个HTTP标头。CSP告诉浏览器一系列的规则,严格规定页面允许哪些资源,哪些来源不在规定范围内。使用它是防止跨站点脚本(XSS)漏洞的最佳方法。由于现有网站改造CSP难度较大(可以增量完成),所有新建网站都强制要求CSP,强烈建议所有现有高危站点配置CSP策略。为什么配置CSP主要好处是全面禁止使用不安全的嵌入式JavaScript。内联JavaScript(无论是反射的还是存储的),意味着不正确转义的用户输入可以被Web浏览器解释为JavaScript代码。通过使用CSP禁用嵌入式JavaScript,您可以有效地消除几乎所有针对您站点的XSS攻击。请注意,禁用内联JavaScript意味着必须从src标记加载所有JavaScript标记内的JavaScript将通过。此外,使用
