CSP 本质上是建立一个内容安全白名单，通过 HTTP 头或 <meta> 标签告知浏览器哪些外部资源（脚本、样式、图片、字体、框架等）允许被加载和执行。如果资源的来源不在白名单内，浏览器就会拒绝加载

引言：你的代码正在杀死你的系统！ "凌晨3点，系统又崩了！"这是某独角兽企业CTO在朋友圈的绝望呐喊。当百万级QPS来袭，90%的Java开发者写的代码都会原形毕露。本文将揭露那些教科书不会告诉你的高