要了解csp,首先得知道这个东西是为了防止什么而设计的。首先,csp的策略xss。跨站点脚本攻击。这也是最有害和最常见的网络安全漏洞。csp规定网页可以加载和执行哪些脚本和样式。先说怎么用。有两种使用csp的方法。一种是通过header请求头输出。大致如下Content-Security-Policy:....另一种方式是通过meta标签。如下。https:》>可以限制什么首先csp可以限制js,image,css,webfont,ajaxrequest,iframe,multimedia等,这里可以看到一般的支持。Chrome的csp策略在25引入,在插件版本3中,使用如下{//contentrestrictionpolicycsp"content_security_policy":{...},//cspcontentpolicyembedder"cross_origin_embedder_policy":{"value":"require-corp"},//cspopenerpolicy"cross_origin_opener_policy":{"value":"same-origin"},}这里的csp是严格版的。仅支持以下声明。script-src:self|none|Anyurobject-src:self|none|Anyurlworker-src:self|none|Anyurl其中,值的解释如下:self允许来自相同来源的内容(相同的协议,域名andport)none不允许任何内容anyurl允许加载指定域名下的内容csp限制策略在chrome中直接使用"content_security_policy"如下:{"extension_pages":"script-src'self';object-src'none'"}允许加载本站脚本,禁止加载其他内容。如果script-src设置为none,则无法加载js。最后请正确使用csp,防止加载自己的内容。源码
