内容安全策略 (CSP) 是 Web 开发人员提高网站安全性的一种机制。通过设置内容安全策略,Web 开发人员可以指示 Web 浏览器仅加载来自某些受信任域的资源,强制执行安全的 HTTPS 连接,甚至在发生策略违规时报告。这可以防止许多内容注入和跨站点脚本 (XSS) 漏洞,这些漏洞通常会导致数据泄漏、网站破坏和恶意软件分发。
通过设置Content-Security-PolicyHTTP 标头或<meta http-equiv="Content-Security-Policy" ... >在站点的 HTML 源代码中包含一个标记,将策略传输到 Web 浏览器。实际的策略数据是一个文本字符串,由一个或多个指定所需限制和配置的指令组成。
要了解有关内容安全策略及其在生产应用程序中实施的更多信息,请参阅以下资源:
