前端针对 XSS 安全配置

参考

• https://layui.dev/notes/share/security-currentscript.html
• https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP
• https://cloud.tencent.com/developer/article/2281491

起因

从 Layui 网站上看到 XSS 漏洞问题，了解到可以使用 CSP 防御 XSS 攻击方法

正文

还可以指定 report-to 策略指令，并提供至少一个 URI 地址去递交报告。

1. HTML 标签进行处理，如：

   <meta
     http-equiv="Content-Security-Policy"
     content="default-src 'self'; img-src https://*; child-src 'none';" />
   

2. HTTP 标头，如：

   Content-Security-Policy: default-src 'self'