content-security-policy

Content-Security-Policy 简称CSP，内容安全策略

Content-Security-Policy 简称CSP，内容安全策略；了解到该内容还是因为近期网上说B站开发者引入自己服务器的js攻击特定用户
除了代码review,也可以通过一定的配置来避免此类事情

CSP就是在响应header中或者网页meta元素中告诉浏览器应该加载哪些域或路径的资源；从而保证只加载可信任的资源

示例

1
2
3

header("Content-Security-Policy: default-src 'self'");
return '<script type="text/javascript" src="https://www.baidu.com/test.js"></script><h1>hello world</h1>';

由于浏览器在加载主页面的时候告诉浏览器是只允许加载同域名下的资源，所以页面中引用百度的资源是无法加载的
这样可以有效的避免跨站脚本攻击

content-security-policy

示例

更多用法参考