csp

Content security policy通过指定有效域(浏览器认可的可执行脚本的有效来源)，使服务端有能力减少或消除xss攻击依赖的载体。一个csp兼容的浏览器将会仅执行从白名单域获取的脚本文件，忽略所有的其他脚本（包括内联脚本和html的事件处理属性）。

内容安全策略 mdn

Locking Down Your Website Scripts with CSP, Hashes, Nonces and Report URI

What’s the purpose of the HTML “nonce” attribute for script and style elements?

CSP Is Dead, Long Live CSP! On the Insecurity of Whitelists and the Future of Content Security Policy

有时间再学习整理