内容安全策略(CSP)是网页开发人员增加网站安全性的机制,通过设置内容安全策略,网页开发人员可以指示网页浏览器仅从某些受信任的域上加载资源,执行安全的HTTPS连接,甚至在发生时报告政策违规,这可以防止许多内容注入和跨站点脚本(XSS)漏洞,这通常会导致数据泄露,网站破坏和恶意软件分发。
策略通过设置内容安全政策 HTTP 标题或在网站的 HTML 源中包含一个<meta http-equiv="内容安全政策"... >标签来传送到 Web 浏览器。
要了解更多有关内容安全政策及其在生产应用程序中的实施情况,请参阅以下资源: