浏览器内容安全策略(CSP)

内容安全策略是一个额外的安全层，用于检测并削弱某些特定类型的攻击，包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件，这些攻击都是主要的手段。

1. 使用方式

为使CSP可用, 你需要配置你的网络服务器返回 Content-Security-Policy，或者在 HTML <meta> 元素种也可配置该策略, 例如：

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

2. 配置示例

（1）一个网站管理者想要所有内容均来自站点的同一个源 (不包括其子域名)

Content-Security-Policy: default-src 'self'

（2）一个网站管理者允许内容来自信任的域名及其子域名 (域名不必须与CSP设置所在的域名相同)

Content-Security-Policy: default-src 'self' *.trusted.com

（3）一个网站管理者允许网页应用的用户在他们自己的内容中包含来自任何源的图片, 但是限制音频或视频需从信任的资源提供者(获得)，所有脚本必须从特定主机服务器获取可信的代码。

Content-Security-Policy: default-src 'self'; img-src *; media-src media1.com media2.com; script-src userscripts.example.com

在这里，各种内容默认仅允许从文档所在的源获取, 但存在如下例外:

• 图片可以从任何地方加载(注意 "*" 通配符)。
• 多媒体文件仅允许从 media1.com 和 media2.com 加载(不允许从这些站点的子域名)。
• 可运行脚本仅允许来自于 userscripts.example.com。

3. 参考文档

• https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP
• https://demo.airtlab.com/Content-Security-Policy/index.html