Content Security Policy 实战实施指南

CSP 是防御 XSS 最强大的浏览器安全功能之一。核心在于明确声明允许的资源，默认拦截其余一切。

核心指令

• default-src 建立默认拦截策略
• script-src 和 style-src 最为关键
• connect-src 和 frame-ancestors 也常用

部署方式

现有站点先以 Report-Only 模式收集违规报告，再应用 nonce 或 hash 迁移到强制模式。应尽量避免 'unsafe-inline'。

现代化加固

组合使用 strict-dynamic、Trusted Types、upgrade-insecure-requests 可显著提升实战防御能力。使用 CSP Builder 构建策略能减少失误。