如何搭建安全策略CSP

1、首先要搭建安全策略就要网站通过发送一个名为CSP的头部，用来告诉浏览器什么是被授权执行的与什么是需要被禁止的，能够起到保护网站的访客不被这段恼人的代码所扰。

2、接着输入一些指令，可以进行定义一些全局规则或者定义一些涉及某一类资源的规则，改变端口和域名从而进行搭建安全策略。

3、然后进行设置基础参数，default-src是基础参数，如果没有为某一类资源设置指令规则，那么浏览器就会使用这个默认参数值。

4、接着由于已经授权了域名来源的JavaScript文件使用到网站上，也添加了self这个关键词，如果通过script-src来重新设置其它的规则指令，它就会覆盖default-src规则。

5、然后HTTP改到HTTPS为一些需要重写大量陈旧URL的网站提供了方便，更好的向后兼容一些废弃的属性，可以简单的复制当前指令的内容同时为那个废弃的指令创建一个相同的副本。

6、最后也是关键的一步，在CSP基础规茸垂扌馔则之下应用这些指令意味着任何没有在CSP指令中被授权允许的都将会被禁止blocked指的是不被执行、不被显示并且不被使用在网站中，启动如图所示的CSP指令。