• >使用控制臺(tái)消息阻止從另一個(gè)域中加載的任何嘗試。 CSP固有地限制了內(nèi)聯(lián)腳本和動(dòng)態(tài)代碼評(píng)估，從而大大減輕了注射風(fēng)險(xiǎn)。 self
• >指定域，目前不支持路徑。 但是，通配符（none）允許子域包含（例如，object-src 'none'.mycdn.com`）。 每個(gè)指令都需要明確的域/子域列表；他們不繼承以前的指令。

對(duì)於數(shù)據(jù)URL，在指令中包括data:（例如，img-src 'data:'）。 unsafe-inline（對(duì)於script-src和style-src）允許內(nèi)聯(lián)<script></script>和<style></style>>標(biāo)籤，unsafe-eval>（forscript-src）啟用動(dòng)態(tài)代碼評(píng)估。 兩者都使用選擇加入政策；省略它們會(huì)執(zhí)行限制。

>瀏覽器兼容性：

> CSP 1.0享有廣泛的瀏覽器支持，較舊的Internet Explorer版本的兼容性有限。

>用>監(jiān)視違規(guī)：report-uri> >開(kāi)發(fā)使用瀏覽器控制臺(tái)日誌記錄，而生產(chǎn)環(huán)境則從

中受益。這將HTTP POST請(qǐng)求包含違規(guī)詳細(xì)信息（以JSON格式）發(fā)送到指定的URL。

>示例：report-uri

違規(guī)行為（例如，從

加載）生成發(fā)送給

<code>Content-Security-Policy: default-src 'self';</code>

www.google-analytics.com report-uri標(biāo)題：

進(jìn)行測(cè)試，使用Content-Security-Policy-Report-Only。 這報(bào)告了違規(guī)行為而不會(huì)阻止資源，從而允許在不中斷的情況下進(jìn)行政策完善。 兩個(gè)標(biāo)頭都可以同時(shí)使用。

實(shí)現(xiàn)CSP： Content-Security-Policy-Report-Only 通過(guò)HTTP標(biāo)頭設(shè)置

，node.js's）。 >

現(xiàn)實(shí)世界示例：header()setHeader()

CSP級(jí)別2增強(qiáng)：

csp級(jí)別2介紹了新指令（

，，，

base-urichild-srcform-action> frame-ancestorsCSP標(biāo)籤和內(nèi)聯(lián)腳本標(biāo)籤中都包含一個(gè)隨機(jī)生成的nonce。 plugin-types 基於哈希的保護(hù)：

>服務(wù)器計(jì)算CSP標(biāo)頭中包含的腳本/樣式塊的哈希。瀏覽器在執(zhí)行之前驗(yàn)證此哈希。

結(jié)論： 通過(guò)控制資源加載，CSP可以顯著增強(qiáng)Web安全性。