：未指定內(nèi)容類型的後備策略。 將其設(shè)置為>實(shí)施所有資源的明確許可。

>
• default-src：指定有效的JavaScript源。 'none'>
• ：控制AJAX，WebSocket和Eventsource請(qǐng)求的來(lái)源。 style-src
其他指令管理圖像，字體，媒體，框架和插件來(lái)源。 >
• script-src
源值：
• connect-src>
  • 'none'：阻止所有來(lái)源。
  • 'self'：允許來(lái)自相同原點(diǎn)的資源。
  • https:：僅允許https源。
  >
  • data:：?jiǎn)⒂?code>data:urls。
  通配符和特定域/子域的規(guī)格。
  • >
  • ：允許內(nèi)聯(lián)樣式和腳本（謹(jǐn)慎使用！）。 'unsafe-inline'>
  • ：允許'unsafe-eval'（在極端謹(jǐn)慎！）。 eval()

  

  測(cè)試和改進(jìn)：

  實(shí)施CSP後，嚴(yán)格測(cè)試您的網(wǎng)站以識(shí)別任何被阻止的資源。使用瀏覽器開發(fā)人員工具和在線CSP測(cè)試服務(wù)來(lái)完善您的策略並確保在維護(hù)安全的同時(shí)確保功能。

  CSP和第三方服務(wù)：

  > 集成第三方服務(wù)（例如Google Analytics（分析）或字體）通常需要仔細(xì)考慮並可能更允許的規(guī)則。 配置這些異常時(shí)，將安全性與功能保持平衡。

  本文是與Siteground合作創(chuàng)建的系列的一部分。感謝您支持使SitietPoint成為可能的合作夥伴。