梗概
- 给网站定义内容限制
- 通常是白名单,表明哪些内容容许被加载,其他内容一律视为不安全的
指定
- 可以在html标签中指定
<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">- 那么只会执行
<script src="原域名">,不会执行<script>