Content Security Policy 是一個讓網站更安全的機制,透過設定 CSP HTTP Response Header,可以告知瀏覽器哪些資源(JavaScript、CSS 等等)可以使用,哪先不行,如果你的網站還沒有使用 CSP,會讓使用者暴露在高危險中,趕緊為你的網站加上 CSP 吧
CSP 主要可以分成 directive
和 policy
,directive
代表資源,如 script-src
代表 JavaScript,img-src
代表圖片;而 policy
代表規則,如 'self'
代表可以從相同來源載入,'none'
代表禁止載入此資源
因此,透過正確設定 CSP,可以確保網頁只使用我們所允許的資源,任何不在規則中的都會直接禁止,藉此來提供網頁的安全性