Defaults.Exposed › Glossary › 内容安全策略（CSP）

内容安全策略（CSP）

Also known as: CSP, Content Security Policy

你的网站交给浏览器的一份规则手册，明确列出允许运行哪些代码和内容——是抵御攻击者向你页面注入恶意脚本的主要防线。

它是什么

内容安全策略（CSP）是你的网站交给访客浏览器的一份规则清单，写明哪些脚本、图片、样式和其他内容允许加载并运行——言下之意，其余一概拦下。这就像递给浏览器一份宾客名单，并叮嘱它把不在名单上的人挡在门外。

最常见的网站攻击之一，就是把恶意代码偷塞进页面——通过评论框、表单、被劫持的插件，或一个被攻破的第三方组件。一旦那段代码在访客浏览器里运行，它就能窃取登录信息、劫持会话、在结账时刮走银行卡资料，或篡改页面。

CSP 就是为此系上的安全带。即便攻击者真把代码塞了进来，浏览器也会拒绝运行任何不在你许可名单上的东西——攻击于是哑火，而不是开火。对于在网站上收款或处理登录的生意来说，这是你能加上的最高价值保护之一，而且不花钱。

我们的免费检测会告诉你网站是否发送了内容安全策略，并在缺失时标出。由于 CSP 列的是你网站特有的内容，它需要量身定制——CSP 修复指南会带你一步步谨慎地构建一份，让它在保护你的同时不破坏网站正当使用的任何东西。设置它是免费的。

Want to fix this on your own domain? See the free guide →