Как настроить CSP

Content Security Policy (CSP) настраивается через HTTP-заголовок Content-Security-Policy или метатег <meta>. Основные шаги:

1. Определите источники для скриптов, стилей, изображений и других ресурсов:

<meta http-equiv="Content-Security-Policy" 
      content="default-src 'self'; 
               script-src 'self' https://trusted.cdn.com;
               style-src 'self' 'unsafe-inline';
               img-src *">

2. Ключевые директивы:

• default-src - политика по умолчанию
• script-src - источники скриптов
• style-src - источники стилей
• img-src - источники изображений
• connect-src - ограничения для XHR/fetch

3. Специальные значения:

• 'self' - текущий домен
• 'none' - запрет
• 'unsafe-inline' - разрешает inline-скрипты/стили (не рекомендуется)
• 'unsafe-eval' - разрешает eval (опасно)

Совет: Начинайте с строгой политики и постепенно расширяйте, используя отчеты о нарушениях (директива report-uri).