Content Security Policy 實戰實施指南

CSP 是防禦 XSS 最強大的瀏覽器安全功能之一。核心在於明確宣告允許的資源，預設攔截其餘一切。

核心指令

• default-src 建立預設攔截策略
• script-src 和 style-src 最為關鍵
• connect-src 和 frame-ancestors 也常用

部署方式

現有網站先以 Report-Only 模式收集違規報告，再應用 nonce 或 hash 遷移到強制模式。應盡量避免 'unsafe-inline'。

現代化加固

組合使用 strict-dynamic、Trusted Types、upgrade-insecure-requests 可顯著提升實戰防禦能力。使用 CSP Builder 建構策略能減少失誤。