CSP (Content Security Policy,内容安全策略) 是一种通过 HTTP 响应头声明页面允许加载哪些来源的资源的安全机制。通过限制脚本、样式、图片等资源的来源,CSP 有效防止跨站脚本 (XSS) 攻击和数据注入攻击。
CSP 通过 Content-Security-Policy HTTP 头或 HTML 的 <meta> 标签来设置。策略由一系列指令组成,如 script-src (脚本来源)、style-src (样式来源)、img-src (图片来源) 等。每个指令指定允许的来源列表。欢迎参阅在 Amazon 搜索 Web 应用安全书籍。
在 URL 缩短服务中,CSP 的配置需要平衡安全性和功能性。服务的页面可能需要加载第三方分析脚本、CDN 上的静态资源、以及内联样式,这些都需要在 CSP 策略中明确允许。
CSP 还提供了 report-uri 指令,允许浏览器将违反策略的行为报告给指定的端点,帮助开发者发现和修复安全问题。在 Amazon 搜索前端安全书籍提供了 CSP 的实施指南。