CSP 是通過限制資源加載來源提升網(wǎng)頁安全的機(jī)制。其核心是通過 HTTP 頭或 meta 標(biāo)簽設(shè)定策略，控制瀏覽器僅加載指定來源的腳本、樣式等資源，防止 XSS 攻擊。配置 CSP 需設(shè)置 Content-Security-Policy 頭，例如 default-src 'self' 限制默認(rèn)資源來源，script-src 指定允許加載的腳本源，style-src 控制樣式表加載。啟用后常見問題包括資源被誤攔截，可通過 report-uri 上報(bào)、Report-Only 模式測(cè)試、避免使用 'unsafe-inline' 和 'unsafe-eval' 解決，并結(jié)合開發(fā)者工具調(diào)試。實(shí)際應(yīng)用中需注意動(dòng)態(tài)插入內(nèi)聯(lián)腳本和樣式的限制、第三方資源需加入白名單，合理規(guī)劃策略可降低維護(hù)成本。

CSP（Content Security Policy）是現(xiàn)代網(wǎng)頁安全中非常實(shí)用的一項(xiàng)技術(shù)，尤其在防止 XSS（跨站腳本攻擊）方面效果顯著。它通過限制瀏覽器只能加載指定來源的資源，來大幅降低惡意代碼注入的風(fēng)險(xiǎn)。

什么是 CSP？

CSP 是一個(gè) HTTP 響應(yīng)頭，也可以通過 HTML 的 <meta> 標(biāo)簽設(shè)置。它的核心作用是告訴瀏覽器哪些資源可以加載、執(zhí)行，哪些要被阻止。比如，你可以設(shè)定只允許從你自己的服務(wù)器或特定 CDN 加載 JavaScript 和 CSS 文件，其他來源的一律禁止。

這個(gè)機(jī)制特別有用，尤其是在用戶可以提交內(nèi)容的網(wǎng)站上。如果沒有 CSP，攻擊者可能通過評(píng)論、表單等方式注入惡意腳本并被執(zhí)行；而有了 CSP，即使腳本被插入頁面，也不會(huì)被執(zhí)行，從而保護(hù)了用戶數(shù)據(jù)。

如何配置基本的 CSP 策略？

配置 CSP 主要是通過設(shè)置 Content-Security-Policy HTTP 頭。以下是一個(gè)簡(jiǎn)單的例子：

Content-Security-Policy: default-src 'self'; script-src 'self' https://cdn.example.com; style-src 'self' 'unsafe-inline'

上面這段策略的意思是：

• 所有資源默認(rèn)只能從當(dāng)前域名加載（default-src 'self'）
• 腳本可以從當(dāng)前域名和 https://cdn.example.com 加載（script-src）
• 樣式表允許內(nèi)聯(lián)（'unsafe-inline'）

當(dāng)然，這只是基礎(chǔ)寫法。實(shí)際使用中可以根據(jù)需要定義更多細(xì)粒度的規(guī)則，比如限制圖片、字體、iframe 等資源的來源。

常見問題與調(diào)試技巧

啟用 CSP 后，最常見的情況就是某些資源被意外攔截，導(dǎo)致頁面功能異常。這時(shí)候可以通過以下幾個(gè)方式排查：

• 使用 report-uri 或 report-to 字段：上報(bào)違反策略的行為，方便分析和修復(fù)。
• 先用 Content-Security-Policy-Report-Only 模式測(cè)試：不會(huì)真正攔截資源，只是報(bào)告違規(guī)行為。
• 注意 'unsafe-inline' 的使用風(fēng)險(xiǎn)：雖然方便，但會(huì)削弱 CSP 的安全性。
• 避免使用 eval() 和 new Function()：這些動(dòng)態(tài)執(zhí)行代碼的方式也會(huì)被 CSP 阻止，除非使用 'unsafe-eval'，但這不推薦。

建議開發(fā)時(shí)配合瀏覽器開發(fā)者工具查看控制臺(tái)報(bào)錯(cuò)信息，能更快定位問題。

CSP 實(shí)際應(yīng)用中的小細(xì)節(jié)

有些時(shí)候，我們可能會(huì)遇到一些“看似合理”的做法其實(shí)不符合 CSP 規(guī)范。例如：

• 使用 <script inline></script> 標(biāo)簽加載腳本，即使腳本內(nèi)容是自己寫的，也可能會(huì)被阻止，除非明確允許 'unsafe-inline'
• 動(dòng)態(tài)生成樣式字符串插入到 DOM 中，也可能被 style-src 策略攔截
• 引入第三方統(tǒng)計(jì)腳本或廣告代碼時(shí)，如果不加入白名單，會(huì)被當(dāng)作非法資源拒絕加載

所以，在引入任何外部資源之前，最好提前規(guī)劃好 CSP 策略，并對(duì)資源進(jìn)行分類管理。

基本上就這些。CSP 不復(fù)雜，但容易忽略細(xì)節(jié)。只要一開始就有意識(shí)地設(shè)計(jì)好策略，后續(xù)維護(hù)起來就不會(huì)太麻煩。

以上是使用HTML中的內(nèi)容安全策略（CSP）增強(qiáng)安全性的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！