13-csp

xss : 通过某些方法在网站里注入一些脚本，导致页面出现问题，甚至窃取用户信息。很可能就是通过网站提供的富文本编辑器之类的工具，插入script内容。
限制方法：在服务器返回的头里面写入'Content-Security-Policy'。

• 只能通过http: https加载，不能直接写在html
• 如果通过外链加载的JS文件，指定域名可以加载，只能本域名下的JS文件可以加载

//限制default-src，只能通过http: https加载，不能直接写在html
'Content-Security-Policy':'default-src http: https'

屏幕快照 2018-07-13 下午4.41.24.png 如果在页面直接写了JS，报错

---

可以写在meta标签

  <meta http-equiv="Content-Security-Policy" content="script-src 'self'; form-action 'self';">