为什么要配置 CSP 的主要好处就是可以全面禁止使用不安全的嵌入式 JavaScript。
因此为了让 CSP 易于实现,在设计站点时必须非常小心。如何配置?
开启 CSP 很简单, 你只需要配置你的网络服务器返回 Content-Security-Policy 这个 HTTP Header (有时你会看到一些关于X-Content-Security-Policy
style-src 限制样式文件的来源。upgrade-insecure-requests 指导客户端将页面地址重写,HTTP 转 HTTPS。用于站点中有大量旧地址需要重定向的情形。
示例 4一个线上银行网站的管理者想要确保网站的所有内容都要通过SSL方式获取,以避免攻击者窃听用户发出的请求。