自项目与CSP

Question

我对CSP的理解很困惑。基于文档和一些YouTube视频，如果我想将CSP添加到我的网站中，我可以这样做一个元标记，

<meta http-equiv="Content-Security-Policy"
    content="default-src 'self' 'unsafe-inline'; script-src 'self' https://kit.fontawesome.com/----.js; style-src 'self' https://fonts.googleapis.com/--- 'unsafe-inline'; img-src'self' ;">

我的真正目标是简单地阻止XSS攻击在我的形式在网站上，或其他类型的攻击一般。我知道我可以编写一些JavaScript并实现一个转义函数，但是我已经读过CSP将完成大部分工作。

现在，'self'应该使用该项目(原始)中的所有脚本/图像/css，对吗？还是我误会了什么。我已经搜索过堆叠溢出，谷歌和youtube，但没有找到答案。每次我试图相应地调整它时，我的所有数据都会消失(我相信这是因为google字体的缘故)，或者是它变得草率了。

Answer 1

如果您正在使用google，那么您应该打开您的开发工具，看看控制台中打印出了哪些错误。如果某个资源被您的内容-安全策略所阻塞，Chrome会提醒您。

此外，根据您的情况，您可能希望查看内容-安全性-策略-仅报告，因为它可能允许您以较小的步骤实现更改。