參考文章:https://cloud.tencent.com/developer/article/1411746
CSP全稱Content-Security-Policy,內容安全策略,它的主要作用是儘量降低XSS跨站腳本攻擊的可能,CSP可以在meta標籤和HTTP頭中使用。
比如
Content-Security-Policy: img-src 'self'
這個響應頭表示圖片的src只能加載同源的,注意self的引號
如果改成
Content-Security-Policy: img-src http://www.baidu.com
那麼http://www.baidu.com的圖片就可以在這個頁面上加載
多個安全策略的情況,同一種類的不同域名之間用空格分隔,不同種類之間用分號
Content-Security-Policy: img-src 'self' http://www.baidu.com; script-src http://xxx.com http://yyy.com
違反安全策略時,會觸發securitypolicyviolation事件,可以通過addEventListener來監聽該事件