内容安全策略简介

起源

1. Web的安全模型根植于同一源策略。
2. 跨站点脚本（XSS）攻击可绕过同源策略。
3. 内容安全策略（Content-Security-Policy）是一个新的防御策略，可以显着降低XSS攻击。
4. 浏览器无法分辨恶意脚本源。
5. CSP定义HTTP头，创建信赖的脚本源白名单，浏览器只能从这些来源执行或渲染资源。
6. XSS内联脚本注入攻击可以绕过源白名单限制，所以应完全禁止内联脚本。
7. 如果必须用内联脚本，CSP Level 2可通过内联脚本标记进入白名单。