允许内联CSS，脚本，javascript等元素事件处理程序

　　允许内联CSS，脚本，javascript等元素事件处理程序

　　'unsafe-inline'

　　允许内联CSS，脚本，javascript：URI和HTML onclick以及其他元素事件处理程序

　　“不安全评估”

　　使用JavaScript的eval（）函数允许不安全的动态代码

　　“ nonce- id”

　　如果id与当前属性值匹配，则允许运行内联CSS或脚本，例如script-src'nonce-abc123'在块内运行内联代码

　　“ sha256-哈希”

　　如果文件内容与生成的SHA-256哈希值匹配，则允许使用样式或脚本

　　CSP开发建议（CSP开发建议）

　　从严格的default-src'none'默认策略开始是可行的；然后根据需要添加其他权限。对于大多数网站来说，一个很好的起点可能是：

　　从严格的默认策略default-src'none'开始；启动default-src'none'是可行的；然后根据需要添加其他权限。对于大多数网站，一个好的起点可能是：

　　default-src 'none'; style-src 'self' data:; img-src 'self' data:; script-src 'self'; connect-src 'self';

　　这允许来自相同来源的样式，图像，脚本和Ajax请求。

　　这允许来自同一源的样式，图像，脚本和Ajax请求。

　　在网络浏览器中打开页面，然后启动开发人员工具控制台。将会报告被阻止的资源警告，例如

　　在网络浏览器中打开页面并启动开发人员工具控制台。例如，将报告被阻止的资源警告

　　Refused to load the script 'XXX' because it violates the following Content Security Policy directive: "YYY".

　　您可能需要浏览各个页面，以确保您已经考虑了网站所需的所有字体，图像，视频，脚本，插件和iframe。

　　您可能需要浏览各个页面，以确保已考虑网站所需的所有字体，图像，视频，脚本，插件和iframe。

　　Google服务

　　Google提供了广泛的服务，您可能正在使用分析，字体，地图等。不幸的是，它们在需要进一步Ajax调用，内联执行和数据方案的一系列URI上启用。您可能最终会遇到一个复杂的政策，例如：

　　Google提供了广泛的服务，您可能正在使用分析，字体，地图等。不幸的是，它们在需要进一步Ajax调用，内联执行和数据方案的一系列URI上启用。您可能最终会遇到一个复杂的策略，例如：

　　default-src 'self';

style-src 'self' 'unsafe-inline' *.googleapis.com;

script-src 'self' *.google-analytics.com *.googleapis.com data:;

connect-src 'self' *.google-analytics.com *.googleapis.com *.gstatic.com data:;

font-src 'self' *.gstatic.com data:;

img-src * data:;

　　（为清楚起见，添加了换行符，但不得在实际代码中使用。）

　　（为清楚起见，添加了换行符，但不得在实际代码中使用它们。）

　　在撰写本文时无法避免，其他第三方供应商也将面临类似的挑战。

　　在撰写本文时，这是不可避免的，其他第三方供应商也将面临类似的挑战。

　　再次测试（再次测试）

　　最后，请在再次重新测试您的页面，幸运的是，您的内容安全策略等级得到了显着提高。该工具还将提供有关旧版浏览器，HTTPS，CORS，MIME，Cookie，引荐来源网址和重定向策略标头的信息。

　　最后，再次在网络上重新测试您的页面。幸运的是，您的内容安全策略级别已得到显着提高。该工具还将建议有关旧版浏览器的标头，HTTPS，CORS，MIME，Cookie，引荐来源网址和重定向策略。

　　实施内容安全策略是预防意外安全问题的重要步骤。另一个重要的步骤是选择要考虑安全性的托管服务提供商。我们的合作伙伴SiteGround对于正在寻求为高级网站安全性而构建的网络托管平台的任何人来说都是一个不错的选择。

　　实施内容安全策略是防止意外安全问题的重要步骤。另一个重要步骤是选择考虑安全性的托管服务提供商。我们的合作伙伴SiteGround对于正在寻找可增强网站安全性的网络托管平台的任何人来说都是不错的选择。

　　翻译自：

　　内容安全政策