什么是内容安全策略 (CSP)，如何能够在 Cloudflar

小提示：您能找到这篇{什么是内容安全策略 (CSP)，如何能够在 Cloudflar}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的什么是内容安全策略 (CSP)，如何能够在 Cloudflar内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< font-size: 16px;">

< font-size: 16px;">什么是内容安全策略?

< font-size: 16px;">内容线上线下整合营销安全政策（CSP）是一项网络标准，它授予了网络开发人员额外的控制权，他们可决定允许客户端浏览器从何处加载资源或允许哪些其他网站与开发人员的网站进行交互。例如，使用此示例策略，开发人员可以指定允许从其自己的站点安全地加载任何内容类型，还可以从任何域加载图像，但仅允许从单独的经过验证的第三方域加载JavaScript库和脚本：

< font-size: 16px;">default-src'self';img-src*;script-src https://userscripts.example.com

< font-size: 16px;">为什么要使用内容安全策略?

< font-size: 16px;">通过正确配置的策略，您和用户可享有针对特定攻击的额外安全防护。通常，它可用于防止和/或减轻涉及内容/代码注入的攻击，例如跨站点脚本/XSS攻击、需要嵌入恶意资源的攻击、涉及恶意使用iframe的攻击（例如点击劫持攻击）等。更常见的情况下，通过它您可以控制访问您的站点的客户端中显示的内容从何处加载。

< font-size: 16px;">如何编写策略？

< font-size: 16px;">可在以下地址查看示例中使用的案例和策略：https://developer.mozilla.org/en-US/docs/Web/Security/CSP/Using_Content_Security_Policy

< font-size: 16px;">http://w3c.github.io/webappsec-csp/和https://developer.mozilla.org/en-US/docs/Web/Security/CSP/CSP_policy_directives提供了更完整的指令和使用说明，以及实施注意事项和客户端支持信息。

< font-size: 16px;">https://developer.chrome.com/extensions/contentSecurityPolicy和https://developer.chrome.com/apps/contentSecurityPolicy提供了Chrome专用的文档，但更侧重于扩展/应用开发。

< font-size: 16px;">https://msdn.microsoft.com/en-us/libra营销推广网站方案ry/dn904195%28v=vs.85%29.aspx提供了针对Edge的部分文档。

< font-size: 16px;">我能够在Cloudflare中使用内容安全策略(CSP)吗？如何使用？

< font-size: 16px;">是的，您可以在Cloudflare背后的站点使用内容安全策略。我们不会修改您的源站发送的Content-Security-Policy标头。

< font-size: 16px;">针对您自己/其他第三方内容，无需对可接受来源进行更改。使用Cloudflare不会影响或修改您用于包含内容的URL，因此不会干扰客户端将策略中指定的位置与用于包含资源的位置进行匹配的能力。

< font-size: 16px;">将CSP标头与Rocket Loader结合使用的示例

< font-size: 16px;">script-src'self'ajax.cloudflare.com;

< font-size: 16px;">将CSP标头与Mirage结合使用的示例

< font-size: 16px;">script-src'self'ajax.cloudflare.com;

< font-size: 16px;">如果您使用Cloudflare Apps或Scrape Shield，则需要在策略中允许内嵌脚本，因为当您启用这些功能时，我们会在您的域中包含脚本并添加一些内嵌代码。以下是您可以用于这些功能的CSP示例：

< font-size: 16px;">script-src'self''unsafe-inline'