CSP,即内容安全策略(Content Security Policy),是一种网络安全标准,用于帮助防止跨站脚本( XSS )、数据注入等多种类型的信息安全攻击。CSP 允许通过有效域来定义页面可以加载哪些资源,从而降低 XSS 攻击的风险(禁止加载不受信任的 JavaScript)。
CSP 一般通过 Content-Security-Policy 响应头来设置,但是也可以通过 <meta> 标签来设置:
<meta
http-equiv="Content-Security-Policy"
content="default-src 'self'; img-src https://*; child-src 'none';" />