🔒 前端防御：内容安全策略（CSP）的配置与 XSS 攻击的防护

CSP：防范 XSS 的终极武器

在前端安全领域，**跨站脚本攻击 (XSS)** 是最常见且危害最大的漏洞之一。虽然输入过滤是必须的，但更强大的防御机制是 **内容安全策略 (Content Security Policy, CSP)**。

CSP 的工作原理：

CSP 通过 HTTP 响应头（`Content-Security-Policy`）或 HTML 的 `` 标签配置一系列指令，告诉浏览器哪些资源来源是可信的（例如脚本、样式、图片、字体）。如果浏览器发现有不符合策略的资源，它将 **直接拒绝加载或执行**。

// 示例：只允许加载来自本域的脚本和图片
Content-Security-Policy: default-src 'self'; script-src 'self'; img-src 'self' data:;

正确配置 CSP，特别是禁用内联脚本 (`'unsafe-inline'`) 和 `eval` (`'unsafe-eval'`)，可以从根本上阻止恶意脚本的注入和执行。运维和前端团队需要协作，确保 CSP 规则不会误杀合法的第三方脚本。首先使用 **报告模式** 进行测试，以实现 平滑部署 和 最大化安全。