Content Security Policy 內容安全策略

https://www.smashingmagazine.com/2016/09/content-security-policy-your-future-best-friend/ http://www.ruanyifeng.com/blog/2016/09/csp.html

Content Security Policy - 簡稱 CSP，是一個瀏覽器安全保護使用者的策略。

主要用於降低 cross-site scripting (XSS) 的風險。

網站傳送Header時﹑夾帶 CSP header 告訴瀏覽器哪些是合法的內容，哪些是不合法的。

在基本的規則中，Header meta name 命名為 Content-Security-Policy 接下來就可以定義規則 定義的方式可以依照你使用的環境及語法而定 首先可以直接使用HTML meta的方式來定義 例如:

<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

也可以透過 HTTP 的header訊息 : Content-Security-Policy 這裡主要會針對PHP header的方式來定義 這裡是一個PHP範例:

<?php
    header("Content-Security-Policy: <your directives>");
?>

通常，在定義CSP規則時，可以定義合法的圖片來源、script 來源、css來源、iframe來源 當然，也可以直接讓本文的script合法，但不建議這樣處理。例如，我們會再本頁HTML中用