Content-Security-Policy(CSP):一种浏览器安全机制/HTTP 响应头(或 HTML meta),用于限制网页可以加载与执行的资源来源(如脚本、样式、图片、iframe 等),从而显著降低 XSS(跨站脚本) 等注入攻击风险。(也可用于上报违规加载行为)
/ˈkɑn.tɛnt sɪˈkjʊr.ɪ.ti ˈpɑl.ə.si/
Set a Content-Security-Policy header to reduce XSS risk.
设置 Content-Security-Policy 响应头可以降低 XSS 风险。
The site uses Content-Security-Policy with script-src 'self' and nonces to control which scripts may run.
该网站使用 Content-Security-Policy,通过 script-src 'self' 和 nonce 来控制哪些脚本可以执行。
这是一个由三个常见英语词组合而成的技术术语:content(内容)+ security(安全)+ policy(策略/政策)。在 Web 领域中,“policy”常指“可被系统强制执行的一组规则”。该术语随着浏览器安全标准的发展而固定下来,用作 HTTP 头字段名 **Content-Security-Policy**。
Select Language