Content Security Policy 是什么？怎么做到的？

Content Security Policy (CSP) 是一种安全机制，用于防止跨站脚本攻击（XSS）、数据注入等网络攻击。让我通俗地解释一下它是什么以及它是如何工作的：

1. 什么是 CSP？

想象一下，CSP 就像是一个网站的保安系统。它告诉浏览器哪些资源（如脚本、样式、图片等）是可信的，可以被加载和执行，哪些是不可信的，应该被阻止。

2. CSP 如何工作？

CSP 通过在 HTTP 响应头中添加特定的指令来工作。这些指令就像是一份"白名单"，列出了允许加载的资源的来源。

例如，一个简单的 CSP 可能是这样的：

Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted-cdn.com;

这个指令的意思是：

• 默认情况下，只允许从当前域名加载资源
• 脚本文件只能从当前域名和 https://trusted-cdn.com 加载

3. CSP 的好处

• 防止 XSS 攻击：即使攻击者成功注入了恶意脚本，由于不在白名单中，这些脚本也无法执行。
• 数据泄露保护：可以限制数据只能发送到特定的域名。
• 防止点击劫持：可以控制页面是否可以被嵌入到 iframe 中。

4. 实现 CSP

实现 CSP 主要有两种方式：

a. 通过 HTTP 头：服务器在响应中添加 Content-Security-Policy 头。

b. 通过 meta 标签：在 HTML 文档的 head 部分添加：

<meta http-equiv="Content-Security-Policy" content="default-src 'self';">

总的来说，CSP 就像是给你的网站设置了一个严格的"门禁系统"，只有被信任的资源才能进入和执行，大大提高了网站的安全性。当然，配置 CSP 需要仔细规划，以确保不会影响网站的正常功能。