什么是内容安全策略？

内容安全策略 (CSP) 是 Web 开发人员提高其网站安全性的一种机制。通过设置内容安全策略，Web 开发人员可以指示 Web 浏览器仅从某些受信任的域加载资源，强制执行安全的 HTTPS 连接，甚至在发生策略违规时报告它们。这可以防止许多内容注入和跨站点脚本 (XSS) 漏洞，这些漏洞通常会导致数据泄露、网站破坏和恶意软件分发。

通过设置 Content-Security-Policy HTTP 标头或在站点的 HTML 源代码中包含 <meta http-equiv="Content-Security-Policy" ... > 标记，将策略传输到 Web 浏览器。实际的策略数据是一个文本字符串，由一个或多个指定所需限制和配置的指令组成。

要了解有关内容安全策略及其在生产应用程序中的实施的更多信息，请参阅以下资源：