内容安全策略CSP(Content Security Policy)
用于帮助检测和缓解某些类型的攻击,包括跨站脚本(XSS)和数据注入等攻击。
用法:在http请求头部设置:Content-Security-Policy: default-src 'self'
或在<meta http-equiv="Content-Security-Policy">
混合内容
是指一个https页面里包含了http请求,http部分明文将不受保护,容易被嗅探者入侵或被中间攻击者修改
