淺談 Content Security Policy (CSP)

Content Security Policy 是一個讓網站更安全的機制,透過設定 CSP HTTP Response Header,可以告知瀏覽器哪些資源(JavaScript、CSS 等等)可以使用,哪先不行,如果你的網站還沒有使用 CSP,會讓使用者暴露在高危險中,趕緊為你的網站加上 CSP 吧

CSP 主要可以分成 directivepolicydirective 代表資源,如 script-src 代表 JavaScript,img-src 代表圖片;而 policy 代表規則,如 'self' 代表可以從相同來源載入,'none' 代表禁止載入此資源

因此,透過正確設定 CSP,可以確保網頁只使用我們所允許的資源,任何不在規則中的都會直接禁止,藉此來提供網頁的安全性