CSP指的是內容安全策略,為了緩解很大一部分潛在的跨站指令碼問題,瀏覽器的擴充套件程式系統引入了內容安全策略(CSP)的一般概念。這將引入一些相當嚴格的策略,會使擴充套件程式在預設情況下更加安全,開發者可以建立並強制應用一些規則,管理網站允許載入的內容。
一、簡介
CSP以白名單的機制對網站載入或執行的資源起作用。在網頁中,這樣的策略通過 HTTP 頭資訊或者 meta 元素定義。CSP雖然提供了強大的安全保護,但是他也造成了如下問題:Eval及相關函式被禁用、內嵌的JavaScript程式碼將不會執行、只能通過白名單來載入遠端指令碼。這些問題阻礙CSP的普及,如果要使用CSP技術保護自己的網站,開發者就不得不花費大量時間分離內嵌的JavaScript程式碼和做一些調整。
二、目的
緩解潛在的跨站指令碼問題。
三、優點
使擴充套件程式在預設情況下更加安全。
