内容安全策略Content Security Policy( CSP )

内容安全策略 (CSP) 是一个额外的安全层，用于检测并削弱某些特定类型的攻击，包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污染还是散发恶意软件，这些攻击都是主要的手段。

CSP 被设计成完全向后兼容（除CSP2 在向后兼容有明确提及的不一致; 更多细节查看这里 章节1.1）。不支持CSP的浏览器也能与实现了CSP的服务器正常合作，反之亦然：不支持 CSP 的浏览器只会忽略它，如常运行，默认为网页内容使用标准的同源策略。如果网站不提供 CSP 头部，浏览器也使用标准的同源策略。

为使CSP可用, 你需要配置你的网络服务器返回 Content-Security-Policy HTTP头部 ( 有时你会看到一些关于X-Content-Security-Policy头部的提法, 那是旧版本，你无须再如此指定它)。

除此之外, 元素也可以被用来配置该策略, 例如

<meta http-equiv="Content-Security-Policy" content="default-src 'self'“>

CSP 的主要目标是减少和报告 XSS 攻击 ，XSS 攻击利用了浏览器对于从服务器所获取的内容的信任。恶意脚本在受害者的浏览器中得以运行，因为浏览器信任其内容来源，即使有的时候这些脚本并非来自于它本该来的地方。

CSP通过指定有效域——即浏览器认可的可执行脚本的有效来源——使服务器管理者有能力减少或消除XSS攻击所依赖的载体。一个CSP兼容的浏览器将会仅执行从白名单域获取到的脚本文件，忽略所有的其他脚本 (包括内联脚本和HTML的事件处理属性)。

配置内容安全策略涉及到添加 Content-Security-Policy HTTP头部到一个页面，并配置相应的值，以控制用户代理（浏览器等）可以为该页面获取哪些资源。比如一个可以上传文件和显示图片页面，应该允许图片来自任何地方，但限制表单的action属性只可以赋值为指定的端点。一个经过恰当设计的内容安全策略应该可以有效的保护页面免受跨站脚本攻击。

特别注意：如果不特别指定’unsafe-inline’时，页面上所有inline的样式和脚本都不会执行；不特别指定’unsafe-eval’，页面上不允许使用new Function，setTimeout，eval等方式执行动态代码。在限制了页面资源来源之后，被XSS的风险确实小不少。

另外图片是data：协议的
要用 img-src data:(记得加分号)

我的例子：
直接在过滤器添加拦截，给每个页面加上对应头部信息

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
   // 强制类型转换 HttpServletRequest
        HttpServletRequest request2 = (HttpServletRequest) request; 
        HttpServletResponse response2 = (HttpServletResponse)response; 
        //response2.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly");
        response2.addHeader("Content-Security-Policy", "default-src * data: 'unsafe-inline' 'unsafe-eval';img-src * data:;worker-src * blob:");
        response2.addHeader("X-Content-Type-Options", "nosniff");
        response2.addHeader("X-XSS-Protection", "1");
        chain.doFilter(new XSSRequestWrapper(request2), response2); 
 }

参考：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/CSP#使用_CSP
https://blog.****.net/farmwang/article/details/78230097
https://www.w3.org/TR/CSP