Secure Content Security Policy

安全的内容安全策略

Risk: secure

描述

当内容安全策略（CSP）能够有效限制浏览器可加载的内容来源时，即被认为是安全的，这从而降低了跨站脚本攻击（XSS）等风险。一个定义良好的 CSP 包含限制脚本、样式和其他资源加载来源的指令。

一个安全的 CSP 可能如下所示：

http request Content-Security-Policy: default-src 'self'; script-src 'self' https://trustedscripts.example.com 'nonce-abcdef'; style-src 'self' 'sha256-xyz'; object-src 'none'; base-uri 'self'; frame-ancestors 'none';

此策略仅允许来自同源和受信任来源的内容，同时禁止任何嵌入对象和框架嵌套。

建议

该实现是安全的，无需应用任何建议。

链接

• CSP Cheat Sheet (OWASP)
• MDN Web Docs on CSP