Ответ
Да, работал с CSP (Content Security Policy). Это механизм безопасности, который помогает предотвращать XSS, инъекции и другие атаки, ограничивая источники загружаемых ресурсов (скрипты, стили, изображения и т.д.).
Пример заголовка CSP:
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com; style-src 'self' 'unsafe-inline'; img-src *;Ключевые моменты:
default-src— fallback для других директив'self'— разрешает загрузку только с текущего домена'unsafe-inline'— разрешает inline-скрипты/стили (не рекомендуется)- Можно настраивать через meta-тег, но заголовок HTTP предпочтительнее
При внедрении CSP важно тестировать с Content-Security-Policy-Report-Only перед полным включением.