以下是一个简单的内容安全策略(CSP)示例:
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; media-src 'self'; font-src 'self'; object-src 'none'; frame-ancestors 'none'; form-action 'self'; upgrade-insecure-requests
解释:
default-src 'self':设置默认源为同源策略,只允许从当前域名加载资源。script-src 'self' 'unsafe-inline':允许从当前域名加载的脚本资源,同时也允许内联脚本('unsafe-inline')。style-src 'self' 'unsafe-inline':允许从当前域名加载的样式资源,同时也允许内联样式('unsafe-inline')。img-src 'self' data::允许从当前域名加载的图片资源,同时也允许data:URI方案。media-src 'self':允许从当前域名加载的媒体资源(音频或视频)。font-src 'self':允许从当前域名加载的字体资源。object-src 'none':禁止从任何来源加载对象(例如,Flash或Java插件)。frame-ancestors 'none':禁止此页面在任何框架中嵌入。form-action 'self':仅允许表单提交到当前域名。upgrade-insecure-requests:在加载资源时自动升级为HTTPS。
这个示例中的CSP设置了一些基本的策略,以增强网站的安全性。具体策略可以根据实际需求进行调整。