在前端与 Web 安全领域，CSP（Content Security Policy，内容安全策略） 是一种安全机制，用来帮助开发者防止 XSS（跨站脚本攻击） 和 数据注入攻击。 它的核心思想是：由服务器通过 HTTP Header 或 <meta> 标签，告诉浏览器“哪些资源可以加载和执行”，从而限制恶意脚本的注入和运行。 CSP 的核心原理 常见配置示例 textContent-Security-Policy: script-src 'se…