CSP (Content Security Policy,内容安全策略) 是一种网页安全标准,主要通过 HTTP 响应头(Header)来实施。 简单来说,CSP 就是浏览器的“白名单”机制。它允许网站管理员告诉浏览器:“在这个页面上,只允许加载和执行我指定的这些资源(脚本、图片、样式表等),其他的都给我拦截掉。” --- CSP 能解决什么问题? CSP 最主要、最核心的目标是缓解和报告跨站脚本攻击 (XSS),同时也能防御其他类型的攻击。 1. 跨站脚本攻击 (XSS - Cross-Site Scripting) 这是 CSP 诞生的主要原因。 问题场景: 攻击者在你的网页评论区或搜索框中注入了一段恶意的 JavaScript 代码(例如 )。如果没有 CSP,浏览器会默认信任服务器返回的内容,加载并执行这段代码,导致用户 Cookie 被盗或页面被篡改。 CSP 的解决方案: 限制来源: 你可以通过 CSP 设置 。这样,浏览器只会加载你自己域名下和 下的脚本。攻击者注入的 脚本会被浏览器直接拦截。 禁止内联脚本 (Inline Script): CSP 默认禁止 标签内...
播面