default-src
所有资源的默认策略
script-src
JavaScript 来源
style-src
CSS 样式来源
img-src
图片来源
font-src
字体来源
connect-src
fetch/XHR/WebSocket
frame-src
iframe 内嵌来源
media-src
audio/video 来源
额外指令
upgrade-insecure-requests
自动将 HTTP 升级为 HTTPS
block-all-mixed-content
阻止所有混合内容
frame-ancestors 'none'
禁止本站被嵌入 iframe
Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; upgrade-insecure-requests; frame-ancestors 'none'
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; upgrade-insecure-requests; frame-ancestors 'none'">
⚠️ 启用 CSP 前请在测试环境验证,错误配置可能导致页面样式或脚本无法加载。