• >使用控制臺消息阻止從另一個域中加載的任何嘗試。 CSP固有地限制了內(nèi)聯(lián)腳本和動態(tài)代碼評估，從而大大減輕了注射風(fēng)險。 self
• >指定域，目前不支持路徑。 但是，通配符（none）允許子域包含（例如，object-src 'none'.mycdn.com`）。 每個指令都需要明確的域/子域列表；他們不繼承以前的指令。

對於數(shù)據(jù)URL，在指令中包括data:（例如，img-src 'data:'）。 unsafe-inline（對於script-src和style-src）允許內(nèi)聯(lián)<script></script>和<style></style>>標(biāo)籤，unsafe-eval>（forscript-src）啟用動態(tài)代碼評估。 兩者都使用選擇加入政策；省略它們會執(zhí)行限制。

>瀏覽器兼容性：

> CSP 1.0享有廣泛的瀏覽器支持，較舊的Internet Explorer版本的兼容性有限。

>用>監(jiān)視違規(guī)：report-uri> >開發(fā)使用瀏覽器控制臺日誌記錄，而生產(chǎn)環(huán)境則從

中受益。這將HTTP POST請求包含違規(guī)詳細(xì)信息（以JSON格式）發(fā)送到指定的URL。

>示例：report-uri

違規(guī)行為（例如，從

加載）生成發(fā)送給

<code>Content-Security-Policy: default-src 'self';</code>

www.google-analytics.com report-uri標(biāo)題：

進(jìn)行測試，使用Content-Security-Policy-Report-Only。 這報告了違規(guī)行為而不會阻止資源，從而允許在不中斷的情況下進(jìn)行政策完善。 兩個標(biāo)頭都可以同時使用。

實現(xiàn)CSP： Content-Security-Policy-Report-Only 通過HTTP標(biāo)頭設(shè)置

，node.js's）。 >

現(xiàn)實世界示例：header()setHeader()

CSP級別2增強(qiáng)：

csp級別2介紹了新指令（

，，，

base-urichild-srcform-action> frame-ancestorsCSP標(biāo)籤和內(nèi)聯(lián)腳本標(biāo)籤中都包含一個隨機(jī)生成的nonce。 plugin-types 基於哈希的保護(hù)：

>服務(wù)器計算CSP標(biāo)頭中包含的腳本/樣式塊的哈希。瀏覽器在執(zhí)行之前驗證此哈希。

結(jié)論： 通過控制資源加載，CSP可以顯著增強(qiáng)Web安全性。