"网页安全政策"（Content Security Policy，缩写 CSP）的来历

做者：阿里聚安全
连接：https://www.zhihu.com/question/21979782/answer/122682029
来源：知乎
著做权归做者全部。商业转载请联系做者得到受权，非商业转载请注明出处。

1、简介
CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源能够加载和执行，等同于提供白名单。它的实现和执行所有由浏览器完成，开发者只需提供配置。CSP 大大加强了网页的安全性。攻击者即便发现了漏洞，也无法注入脚本，除非还控制了一台列入了白名单的可信主机。

两种方法能够启用 CSP。一种是经过 HTTP 头信息的Content-Security-Policy的字段。

 

Content-Security-Policy: script-src 'self'; object-src 'none'; 
style-src cdn.example.org third-party.org; child-src https:

另外一种是经过网页的<meta>标签。

<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

上面代码中，CSP 作了以下配置。

• 脚本：只信任当前域名
• <object>标签：不信任任何URL，即不加载任何资源
• 样式表：只信任http://cdn.example.org和http://third-party.org
• 框架（frame）：必须使用HTTPS协议加载
• 其余资源：没有限制

启用后，不符合 CSP 的外部资源就会被阻止加载。
Chrome 的报错信息。