CSP旨在减少(注意这里是减少而不是消灭)跨站脚本攻击。 CSP 本质上就是建立白名单，开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则，如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。 script-src：在处理脚本资源的时候设…