什么是内容安全策略?

来自菜鸟教程
跳转至:导航、​搜索

内容安全策略 (CSP) 是 Web 开发人员提高其网站安全性的一种机制。 通过设置内容安全策略,Web 开发人员可以指示 Web 浏览器仅从某些受信任的域加载资源,强制执行安全的 HTTPS 连接,甚至在发生策略违规时报告它们。 这可以防止许多内容注入和跨站点脚本 (XSS) 漏洞,这些漏洞通常会导致数据泄露、网站破坏和恶意软件分发。

通过设置 Content-Security-Policy HTTP 标头或在站点的 HTML 源代码中包含 <meta http-equiv="Content-Security-Policy" ... > 标记,将策略传输到 Web 浏览器。 实际的策略数据是一个文本字符串,由一个或多个指定所需限制和配置的 指令 组成。

要了解有关内容安全策略及其在生产应用程序中的实施的更多信息,请参阅以下资源: