安全相关

CSP是干什么的

CSP，即内容安全策略（Content Security Policy），是一种用于增强网页安全性的标准。

CSP通过定义一系列规则来限制网页上可执行的内容，例如脚本、图片、样式表等的来源。这些规则通常在服务器端通过HTTP响应头Content-Security-Policy来设置，从而为网站提供一个安全的运行环境。

具体来说，CSP的主要作用包括：

1. 防止跨站脚本攻击（XSS）：通过只允许加载指定来源的脚本和样式，CSP能够有效防止XSS攻击，这是目前解决XSS问题的最有效手段之一。
2. 限制资源加载：CSP可以指定哪些域名下的资源可以被加载，这样就能阻止未经授权的脚本或样式被执行。
3. 提高整体安全性：通过实施CSP，网站可以降低因内容注入导致的安全风险，提升用户的信任度和网站的可靠性。
4. 调试和测试：开发者可以使用如Chrome插件——modheader这样的工具来测试和调试CSP规则，确保它们按预期工作。

综上所述，CSP是前端开发中非常重要的安全措施，它帮助开发者保护网站免受多种网络攻击，尤其是XSS攻击，从而保障用户数据的安全和网站的稳定运行。

1. 外部脚本可以通过指定域名来限制：Content-Security-Policy: script-src 'self'，self 代表只加载当前域名
2. 如果网站必须加载内联脚本 (inline script) ，则可以提供一个 nonce 才能执行脚本，攻击者则无法注入脚本进行攻击。Content-Security-Policy: script-src 'nonce-xxxxxxxxxxxxxxxxxx'

const ts = require('re');

console.log('ts')

const ts = require('re');

console.log('ts')

const ts = require('re');

console.log('ts')

这是一段测试code和display的玩意儿。