CSP

针对 Content-Security-Policy: default-src 'self' https://trusted-cdn.com; 的解释:

这是一个用于增强网页安全性的 Content Security Policy (CSP) 头部设置。它的具体含义和作用如下：

1. default-src 指令：设置默认安全策略

• 作为其他资源类型的默认安全规则（未明确指定的资源类型都遵循此规则）
• 覆盖的资源类型包括：脚本、样式、图片、字体、AJAX 请求、媒体文件等

2. 生效规则：

• 'self' 表示允许加载与当前页面同源的资源：

  • 协议、域名、端口一致的内容
  • 如当前页面是 https://example.com，则允许加载 https://example.com 下的资源

• https://trusted-cdn.com 表示额外允许从该 CDN 域名加载资源

3. 最终效果：

• √ 允许的：

  • 当前域名（self）下的资源
  • https://trusted-cdn.com 域名下的资源

• × 禁止的：

  • 所有其他域名资源
  • 内联脚本/样式（如 <script> 标签中的代码）
  • eval() 等动态代码执行
  • data: URL 方案的内容
  • javascript: URL

4. 补充说明：
   如果要允许某些例外，需要单独设置对应指令：

• 如允许内联脚本需：script-src 'unsafe-inline'
• 要允许 Facebook SDK：script-src https://connect.facebook.net
• 要加载 Google 字体需：font-src https://fonts.gstatic.com

5. 安全建议：

• 使用 CSP 可以有效阻止 XSS 攻击
• 建议配合启用报告模式进行测试：Content-Security-Policy-Report-Only
• 可添加 report-uri 指令收集违规报告

实际使用时需要根据项目使用的具体资源进行调整，可以通过浏览器控制台查看 CSP 违规警告来优化策略配置。