浏览器通过 CSP(Content Security Policy,内容安全策略)限制资源加载和脚本执行,防止 XSS(跨站脚本攻击)。
论据/示例
CSP 工作原理:
- 服务器在响应头中添加 Content-Security-Policy
- 浏览器根据白名单决定是否加载资源
- 违规资源被阻止加载
常见指令:
Content-Security-Policy:
default-src 'self'; # 默认仅允许同源
script-src 'self' https://trusted.com; # 仅允许指定域名
img-src *; # 允许所有图片
style-src 'self' 'unsafe-inline'; # 允许内联样式(不安全)XSS 防御:
- 禁止加载外部脚本:
script-src 'self' - 禁止内联脚本:
script-src 'self' - 禁止 eval:
script-src 'self'