Content-Security-Policy（CSP）参数介绍

<meta http-equiv="Content-Security-Policy" content="default-src https://www.ipkd.cn; child-src 'none'; object-src 'none'">

1、指令介绍

base-uri: 用于限制可在页面的 <base> 元素中显示的网址。

child-src: 用于列出适用于工作线程和嵌入的帧内容的网址。例如：child-src https://youtube.com 将启用来自 YouTube（而非其他来源）的嵌入视频。 使用此指令替代已弃用的 frame-src 指令。

connect-src: 用于限制可（通过 XHR、WebSockets 和 EventSource）连接的来源。

font-src: 用于指定可提供网页字体的来源。Google 的网页字体可通过 font-src https://themes.googleusercontent.com 启用。

form-action: 用于列出可从 <form> 标记提交的有效端点。

frame-ancestors: 用于指定可嵌入当前页面的来源。此指令适用于 <frame>、<iframe>、<embed> 和 <applet> 标记。此指令不能在 <meta> 标记中使用，并仅适用于非 HTML 资源。

frame-src: 已弃用。请改用 child-src。

img-src: 用于定义可从中加载图像的来源。

media-src: 用于限制允许传输视频和音频的来源。

object-src: 可对 Flash 和其他插件进行控制。

plugin-types: 用于限制页面可以调用的插件种类。

report-uri: 用于指定在违反内容安全政策时浏览器向其发送报告的网址。此指令不能用于 <meta> 标记，这就是举报电话。

style-src: 是 script-src 版的样式表。

upgrade-insecure-requests: 指示 User Agent 将 HTTP 更改为 HTTPS，重写网址架构。 该指令适用于具有大量旧网址（需要重写）的网站。

2、规则介绍

none：表示不执行任何匹配。

self：表示与当前来源（而不是其子域）匹配。

unsafe-inline：表示允许使用内联 JavaScript 和 CSS。

unsafe-eval：表示允许使用类似 eval 的 text-to-JavaScript 机制。