CSP 内容安全策略 ​

介绍 ​

内容安全策略（Content Security Policy）简称 CSP，通过它可以明确的告诉客户端浏览器当前页面的哪些外部资源可以被加载执行，而哪些又是不可以的。

作用 ​

防 XSS 攻击
其原理就是设置域名白名单，允许哪些外部资源可以加载和执行。其处理是由浏览器完成，开发者只需要做相关配置即可。

使用 ​

1. 通过 HTTP 请求头配置
   例如 Nginx 只允许当前与 https://demo.com 这两个源的脚本被加载与执行：

Content-Security-Policy: script-src 'self' https://demo.com

Content-Security-Policy: script-src 'self' https://demo.com

2. 通过 HTML 页面 <meta> 标签配置

<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://demo.com">

<meta http-equiv="Content-Security-Policy" content="script-src 'self' https://demo.com">