该配置可以在一定程度上防止 XSS 攻击,在 Nginx 中可以直接通过添加 header 实现。
add_header Content-Security-Policy "default-src 'self' server_names *.jovialchap.com www.google-analytics.com www.googletagmanager.com *.w.org wp-themes.com secure.gravatar.com 'unsafe-inline' 'unsafe-eval' blob: data: ;";
在其中
- default-src 'self' 定义了默认规则,即只允许本站的内容
- server_names 和后面添加的域名表示允许从这些域名来的内容
- 'unsafe-inline' 允许了内链js脚本的使用
- 'unsafe-eval' 允许了js使用eval